En respuesta a los comentarios del blog, y a los muchos mensajes recibidos por la noticia en una-al-dia, a continuación los resultados de detección del troyano en cuestión según los diferentes motores:
Cómo se puede observar el ratio de detección es bastante irregular. No se debe personalizar mucho respecto a que motor lo detecta y cuál no, no serÃa justo ni práctico emitir juicios de valor por la detección de una simple muestra.
Por ejemplo, a continuación los resultados de otra variante del troyano que captura también vÃdeo, en esta ocasión está más optimizado y afecta a más entidades.
Más que utilizar estos datos a modo de comparativa (aunque tampoco vamos a reprimir la alegrÃa que les cause a los antivirus que han logrado pleno y conseguido detectar los dos), creo que la lectura que deberÃamos hacer es que hay tal diversidad y proliferación de troyanos bancarios que resulta muy complicado mantener unos ratios de acierto elevados. Todos los motores tienen sus lagunas.
¿PodrÃan mejorar los ratios de detección respecto a los troyanos bancarios?, probablemente sÃ. Los consumidores de productos antivirus deberÃan demandar una mayor protección contra el malware que considere les puede causar más daño. Las entidades financieras probablemente también estarÃan interesadas a favor de esta demanda, podrÃa mitigar algo sus problemas además de desviar un poco la responsabilidad.
Claro está que para ejercer esa “presión”, en el buen sentido, deberÃa existir un ente independiente que ofreciera datos al respecto o algún tipo de certificación que garantizara una especial atención ante este tipo de malware. De lo contrario todo quedarÃa en agua de borrajas y a merced del marketing.
Más preguntas… respecto a que familia pertenece, como podéis ver en los resultados la mayorÃa de antivirus ha optado por meterla dentro del gran cajón genérico de los “banker”. Es otro de los problemas de la gran cantidad de troyanos bancarios que se producen actualmente, para los laboratorios antivirus es prácticamente imposible hacer un análisis en profundidad de cada muestra y una clasificación más detallada y descriptiva.
En cuanto a su proliferación, no tenemos datos que sugieran que hay una plaga de este tipo de troyano con captura de vÃdeo, pero si estimamos que seguirá evolucionando a corto plazo. Tampoco se trata del método óptimo para capturar los datos de los teclados virtuales, asà que probablemente otras técnicas se extiendan más y terminarán por imponerse a la del vÃdeo.
¿Método utilizado para el contagio?. La muestra nos llega a través de VirusTotal, asà que no tenemos datos concretos de como se está distribuyendo. Lo normal en el caso de los troyanos bancarios brasileños es que se utilice el e-mail o la web para su distribución. Algunas excusas para engañar a los usuarios y hacerles abrir el troyano son desde tarjetas postales virtuales hasta otras más picantes.
Fuente: http://blog.hispasec.com/laboratorio/154
Publicidad