Un «Hello World» es detectado como malware en VirusTotal

Total
0
Shares
Hello World detectado como malware VirusTotal
«Hello World» es detectado como malware en VirusTotal

Increíblemente los escáneres en VirusTotal señalaron un «Hello World» como dañino, inseguro o malicioso, pero ¿por qué? Esto fue lo que pasó.

El pasado 10 de agosto, un investigador de seguridad con seudónimo «zerosum0x0» publicó una imagen interesante a Twitter, que era el código detrás de una versión de depuración de un ejecutable.

«Hello World» de zerosum0x0 (Vía Twitter)

El código era «Hello World» – un ejemplo común utilizado para enseñar a nuevos programadores. Cuando el ejecutable fue enviado a VirusTotal, varias firmas lo marcaron como algo «sospechoso».

Un HelloWorld.exe malicioso

¿Por qué el código de prueba se consideraba malicioso?. Pues bien, el aprendizaje Automático (Machine Learning) y la Inteligencia Artificial siguen mejorando y las firmas empresariales están haciendo lo que pueden para rentabilizar y tener el mejor rendimiento a fin de ser los lideres del mercado.

¿Cómo esto afecta al código «Hello World»? El experimento realizado por «zerosum0x0» ganó la atención porque las firmas que señalan el código como «malicioso» son sistemas avanzados de defensa que promueven el uso del aprendizaje automático.

El código en cuestión se puede ver en una imágen en Twitter. Una vez más, esto es código de prueba, algo que todos los programadores principiantes utilizan (el famoso «Hola Mundo»). ¿Por qué entonces este código básico está marcado como sospechoso, dañino o completamente malicioso por firmas notables como CrowdStrike, Cylance, Cyren, Sophos, McAfee y SentinelOne?

https://twitter.com/zerosum0x0/status/895648493422878720

La Explicación de las Firmas de Seguridad

El ejemplo de «zerosum0x0» fue sólo una prueba con siete detecciones (hasta ese momento fueron 7). Se hicieron otras pruebas incluyendo una, hecha por un usuario bajo el identificador «_hugsy_«, quién eliminó la función ‘printf‘ y todavía seguía marcado como dañino. Lo curioso es que en esta última prueba, sin el «printf«, había once firmas adicionales que informaban que «Hello World» era inseguro, malicioso o un troyano. Otros hicieron la misma prueba, con los resultados similares.

Nuevamente. ¿Por qué? ¿Por qué estas firmas/proveedores de seguridad bien conocidos y establecidos, señalan un código tan básico e inofensivo como malicioso? El blog de CSOnline se comunicó con las principales firmas y esto respondieron: (un pequeño resumen se presenta a continuación)

  • Ryan Permeh de Cylance: «La muestra fue pequeña, no mostró nada malo, pero tampoco mostró nada bueno: los programas de una función casi siempre son malware, las compilaciones de depuración son estadísticamente extrañas, el uso de MinGW en lugar de Visual Studio es estadísticamente extraño. Binario es ‘extraño’.»
  • Raj Rajamani de SentinelOne: «El binario fue detectado como sospechoso, probablemente porque fue compilado en modo Debug. Cuando el mismo código se compila en modo Release, no detectamos esto como sospechoso.»
  • Jarno Niemelä de F-Secure: «Si un ejemplo no tiene casi ninguna característica con la que podría ser clasificado, estos sistemas tienden a ser clasificados como maliciosos, debido a que es muy raro que un archivo limpio no haga nada, lo que lleva a este problema de ‘Hello World’… Este archivo no podría desencadenar una falsa alarma entre los clientes reales ya que se envía a nuestra nube para un análisis más a fondo»
  • Dr. Sven Krasser de CrowdStrike: «Mientras que, en este caso, nuestro motor de análisis de archivos era discutiblemente demasiado agresivo, generalmente este comportamiento es por diseño: Si un archivo no se parece a una aplicación legítimamente útil al mismo tiempo exponiendo rasgos inusuales, entonces se alerta para evitar que se ejecute.»

En conclusión, los archivos de prueba fueron muy simples o sin ningún contenido útil, lo cuál fue «extraño» para los modelos de aprendizaje automático de estas principales firmas de seguridad. Finalmente, estas firmas aseguraron que van a mejorar su tasa de detección e incluso, actualmente, en VirusTotal sólo se muestra 2 detecciones.

¡Comparte esta curiosidad!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.


Recibe los trucos más ocultos de tecnología 🤫

Aprende trucos como la técnica 'correo+1' para recibir correos en tu misma cuenta principal. ¡Únete ahora y accede a información exclusiva!

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.


Puede que también te interese