Los investigadores Kevin van Liebergen, Juan Caballero (de IMDEA Software), Platon Kotzias y Chris Gates (de Norton Research Group) presentan el estudio “A Deep Dive into the VirusTotal File Feed” en el que realizan un análisis exhaustivo de los informes realizados por la plataforma VirusTotal en un año, con el objetivo de averiguar el estado del malware.
Los escáneres online analizan muestras que envían los usuarios utilizando un gran número de herramientas de seguridad y proporcionan el acceso a los resultados del análisis. VirusTotal (VT) es la más popular entre la comunidad de seguridad. Cada archivo analizado por VT crea un informe que contiene, entre otras cosas, los metadatos, datos específicos, o la lista de etiquetas de detección asignadas por hasta 70 antivirus utilizados para escanear archivos.
El estudio
La muestra incluye un total de 328 millones de informes de 235 millones de ficheros analizados entre el 21 de diciembre de 2020 y el 20 de diciembre de 2021 provenientes de VT y de Gen Digital, conocido previamente como Norton LifeLock.
Figura 1: Número de informes diarios de VT y ficheros recolectados.
Entre los informes analizados existe una gran variedad de tipos de fichero y los que tienen una mayor incidencia se reflejan en la tabla 2. Como puede apreciarse, la mayor parte de los ficheros analizados, 220,3 millones (66%), son archivos “peexe”, que incluyen archivos Windows PE como EXE, DLL, o CPL, entre otros. Cabe destacar que los primeros cinco tipos de archivos abarcan a un 88,4% del total de la muestra: Windows PE (66%), JavaScript (8,9%), HTML (5,3%), PDF (4,8%) y Aplicaciones Android (3,4%).
Figura 2: Top 20 tipos de archivo de entre todos los ficheros observados.
En una primera observación, un 53% de las muestras no presentan ninguna detección maliciosa por parte de VT. En este porcentaje se incluyen archivos benignos y también malware no detectado en el primer análisis y que es posible que sean considerados maliciosos en análisis posteriores. En este sentido, los investigadores de IMDEA Software y Norton Research Group consideran que el porcentaje de archivos que pueden considerarse maliciosos está entre el 41-47%, en función del número de antivirus que han detectado el fichero como malicioso, (entre 1 y 4).
Los informes recolectados son diversos en cuanto a las familias de malware. Se han encontrado 33.000 familias de malware diferentes, de las cuales, 4.900 tienen bastante incidencia dado que aparecen al menos en 100 archivos.
También se ha detectado que en un 0,3% de las muestras, 600.000 archivos, son archivos originalmente FUD, VT no detecta malware en un primer análisis, pero en análisis posteriores son consideradas maliciosas por al menos 4 motores antivirus.
Los investigadores han comparado los millones de informes de VirusTotal con el conjunto de datos de Gen Digital, que pertenecen a ficheros localizados en dispositivos de usuarios (AV) y, entre otras cosas, demuestran que VT, a pesar de tener un volumen 17 veces inferior al de la telemetría de los antivirus, observa 16 veces más malware, por lo que es una gran plataforma para poder buscar malware.
Por último, en el estudio se ha demostrado que las familias de malware que aparecen en ambos conjuntos de datos difieren, mientras que en VT aparece más malware como ransomware (cifra datos) o virus bancarios, entre otros, en los ficheros de los usuarios aparecen más programas potencialmente no deseado (PUP), pudiendo ser spyware (recolecta pulsaciones de teclado, activa cámara) o adware (publicidad intrusiva).
