VirusTotal, el servicio de archivos de escaneo en línea más utilizado, está ejecutando aplicaciones sospechosas para Mac enviadas por los usuarios dentro de una sandbox para generar información que podría mejorar el análisis y detección de malware para Mac.

De acuerdo con proveedores de seguridad, el número de aplicaciones de Mac OS X potencialmente maliciosas, especialmente los programas de publicidad, está en su punto más alto.

VirusTotal, un servicio propiedad de Google, permite a los usuarios subir archivos sospechosos y escanearlos con 54 productos antivirus diferentes. Sin embargo, los resultados del análisis no son perfectos y no deben tomarse como garantía de que los archivos son seguros.

Durante muchos años, el servicio sólo realizaba un análisis estático de los archivos enviados por el usuario, sin ejecutarlos, lo que deja fuera un componente importante, el análisis conductual de malware moderno.

Muchos productos antivirus no detectan un archivo como malicioso si es almacenado en el disco, especialmente si está bien ofuscado o forma parte de una nueva amenaza. Sin embargo, podrían detectarlo y bloquearlo si trata de hacer algo sospechoso cuando se ejecuta.

debido a que VirusTotal ha utilizado la exploración estática, sus informes nunca fueron un fiel reflejo de la tasa de detección de un archivo malicioso, como en el caso de los productos antivirus, a pesar de que muchas personas los interpretan como tales.

En realidad, si un informe de análisis de VirusTotal no muestra la detección de un archivo, no quiere decir que está limpio y que pueda ser ejecutado sin preocupaciones. Sin embargo, si una exploración de VirusTotal devuelve uno o más resultados positivos, especialmente de los productos antivirus conocidos, entonces el archivo definitivamente no debería ser ejecutado.

En un intento de complementar sus informes de análisis estático con más información que podría ayudar a los usuarios, los equipos de seguridad y los investigadores han tomado mejores decisiones acerca de los archivos sospechosos, VirusTotal añadió información sobre el comportamiento de los ejecutables de Windows en 2012.

Esta información se extrae mediante la ejecución del archivo dentro de un entorno controlado (una sandbox) y del seguimiento de las acciones que realiza, al igual que los archivos que crea, lee o mueve y los procesos que genera.

La misma característica se añadió en 2013 para aplicaciones de Android y también está disponible para ejecutables Mach-O, archivos DMG o archivos ZIP que contienen aplicaciones de Mac.

"Los usuarios pueden escanear este tipo de archivos directamente en www.virustotal.com, con nuestra aplicación OS X Uploader o por medio de la API", dijo el miembro del equipo de VirusTotal Karl Hiramoto en el blog del sitio.

David Harley, un investigador socio de ESET antivirus y un fuerte crítico de la utilización de escáneres VirusTotal para hacer afirmaciones sobre el rendimiento de los productos antivirus, siente que la adición de las pruebas de sandbox para que el servicio son una mejora.

"Tal vez esto reduce la línea entre servicio de VirusTotal y otros servicios de seguridad en una forma que podría causar más confusión entre los pseudotesters", dijo en un blog. "Pero eso no es culpa de VirusTotal, y creo que el valor añadido a sus servicios lo compensa."