jueves, agosto 7, 2008, 11:04 PM - Tecnología
Últimamente me está dando por colaborar con la gente de Clamav y con la venia de algún cliente estamos localizando ficheros sospechosos que no detecta Clamav en servidores de correo.
En la configuración de Clamav hemos activado la opción "MailFollowURLs yes", de esta forma no se analiza sólo el mensaje de correo, sino también los enlaces que contengan (ojo que hay que tener cuidado con los DoS)
El truco está en decirle al clamav que use un proxy para conectarse a Internet (en mi caso, squid ) y parseando los logs del proxy podemos ver que enlaces contienen los correos. Con un par de grep te puedes quedar con los enlaces que contengan ".exe", ".pif" y demás ficheros ejecutables en esa plataforma tan conocida.
Gracias a la gente de Virus Total (sois los mejores, Hispasec!) uno puede subir ficheros sospechosos y que lo analicen más de 30 antivirus distintos.
En la semana que llevamos haciendo esto hemos detectado más de 13 virus/adware/malware que Clamav no detectaba. Y algún otro que Clamav si detectada pero otros antivirus no. La propia gente de Virus Total se encarga de repartir las muestras entre las casas antivirus, por lo que todos quedamos beneficiados.
Ahora viene la parte interesante. Mirando los logs del proxy vemos que las webs que mantienen los ficheros .exe la mayoría nada tienen que ver con los virus/underground, sino que han sido comprometidas y están alojando malware sin saberlo.
Hemos probado en ir avisando a las webs españolas que están infectadas, pero si ve que la gente no lee las cuentas de correo webmaster@dominio_infectado.es
He estado leyendo por Internet, pero aparte del CERT-Es no encuentro ningún sitio para avisar de que hay direcciones infectadas. ¿Alguien conoce algún sitio?
Gufete
[ 1 comentario ] ( 765 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3 / 551 )
