Los antivirus basados en firmas (los más conocidos) han demostrado que este es un sistema caduco, y que deberán incluir tecnologías proactivas para ser realmente eficaces ante los retos que se les planteará en un futuro próximo. Recientemente ha sido detectada una nueva variante de un gusano de sobras conocido, MyDoom. La nueva rama de este patógeno fue dada a conocer por McAfee y según informan este patógeno ha hecho algo más que provocar una epidemia…
La nueva rama de este patógeno fue dada a conocer por McAfee a través de su centro AVERT (Anti-Virus and Vulnerability Emergency Response Team). Bautizada como W32/Mydoom.bb@MM, esta nueva variante está considerada como de riesgo medio, pese a que infecta la máquina atacada con el troyano BackDoor-CEB.f, considerado peligroso. Dicho troyano desactiva la actualización del antivirus presente en el sistema y abre una puerta trasera que facilita el control remoto de la máquina afectada.
Para contagiar a más máquinas se transmite a través del correo electrónico, utilizando para ello su propio servidor SMTP y enviándose a las direcciones que recolecta en la máquina infectada.
Pero este patógeno ha hecho algo más que provocar una epidemia, ha dejado al descubierto lo que muchos fabricantes de antivirus temían: que sus métodos de detección no son tan eficaces como creían.
La nueva variante de MyDoom no fue detectada por la mayoría de los antivirus del mercado, pese a que las versiones anteriores sí eran detectadas. ¿Como puede pasar esto? Según informa el website dedicado a la seguridad informática Hispasec, en un artículo de Bernardo Quintero, este patógeno es el mismo que en julio de 2004 afectó a algunos buscadores de Internet como Google, pero comprimido con el programa MEW, un compresor de ejecutables.
Los motores antivirus analizan las operaciones de acceso a disco, pero los ejecutables comprimidos se descomprimen en memoria RAM, por lo que al cargar el archivo (aún comprimido), el antivirus no es capaz de analizarlo si está comprimido utilizando un algoritmo que el programa desconoce. Una vez descomprimido en RAM, el patógeno tendrá las manos libres para hacer lo que quiera.
Quintero pone a la nueva variante de MyDoom como a un claro ejemplo de que los sistemas de detección clásicos que emplean los antivirus, a través de las llamadas «firmas» (trozos del código de un virus que el programa reconoce) están desfasados.
En opinión de Quintero, se hace necesario que los antivirus que quieran ser efectivos en el futuro próximo incluyan tecnologías proactivas (es decir, que permitan detectar el virus antes de que este haga efectiva la infección y sus efectos perniciosos).
Los antivirus que detectaron exitosamente la nueva modificación de MyDoom sin necesitar una actualización específica fueron BitDefender, Kaspersky, NOD32, Norman y Panda.