| Artículos | 01 SEP 2002

13 antivirus a examen

Tags: Histórico
Aladdin eSafe Desktop v3.1, BitDefender Home Edition 6.4.1, eTrust InoculateIT 6.0, FSecure 5.40, Kaspersky 4 McAfee VirusScan 6.02, Nod32 v1.248, Norman Suite Norton AntiVirus 2002, Panda Platinum 7.0, Panda Titanium PC-Cillin 2002,
Bernardo Quintero.
En esta comparativa de antivirus evaluaremos el grado de protección que ofrecen las distintas soluciones ante los virus conocidos, con los tradicionales tests de detección contra diferentes colecciones y, por primera vez en una evaluación de este tipo, mediremos las protecciones proactivas y detecciones genéricas que ofrecen ante los virus de nueva creación.

Después de haber dibujado, en el artículo anterior, un panorama tan pesimista, las buenas noticias son que algunos antivirus ya han comenzado a implantar, de forma tímida aún, algunas soluciones proactivas que van más allá de la detección de firmas.
Para realizar la comparativa hemos contado con un parque de 15 ordenadores con Windows 98, 2000 y XP, instalados sobre una red local donde simulamos nuestra particular Internet con un servidor de correo, web, FTP e IRC. La instalación de los antivirus se ha llevado a cabo siempre sobre discos imágenes de un master, de forma que todos partieran en igualdad de condiciones en lo que respecta a la configuración del sistema operativo y al resto de aplicaciones instaladas.
Para contabilizar el grado de acierto en los tests de detección se han filtrado los logs de registro de los antivirus donde se identifica cada uno de los archivos detectados, y se han evitado las cifras arrojadas directamente por las soluciones, ya que en algunos casos se detectan anomalías. Por ejemplo, es común que algunas soluciones cuenten un virus que se encuentre en un archivo comprimido como dos aciertos en vez de uno.

Tests proactivos
Los tests proactivos tienen como misión evaluar el grado de protección que ofrecen las diferentes soluciones al enfrentarse a especímenes de nueva creación y/o que utilizan técnicas de ofuscación para burlar a los antivirus clásicos.
En primer lugar aprovechamos el descubrimiento de una nueva vulnerabilidad en Internet Explorer 6, publicada el 25 de junio de 2002, que permitía la ejecución de comandos de forma remota a través de un script incrustado en una página web. Esta vulnerabilidad es heredada por Outlook y Outlook Express, ya que utilizan los componentes de Internet Explorer para interpretar y visualizar los mensajes con formato HTML.
Partiendo de esta vulnerabilidad, que bautizamos como VUL-IE6, creamos una página web que al ser visitada descargaba e instalaba un virus, también creado al efecto, en el sistema del usuario. Aprovechando la misma vulnerabilidad se diseñó otra prueba de concepto que leía las cookies del sistema afectado. Esta página quedó alojada en un servidor Internet Information Server instalado en la red local de pruebas, de modo que desde el sistema donde evaluábamos los antivirus pudiéramos acceder a dicha página.
Este test en concreto sólo fue superado por los monitores residentes de Kaspersky y FSecure, que alertaban de un script perteneciente a una explotación de una vulnerabilidad al intentar visitar la página web que diseñamos.
Como segundo test diseñamos un segundo virus/gusano que aprovechaba la famosa vulnerabilidad IFRAME/MIME, utilizada para infectar de forma automática con tan sólo visualizar un mensaje de correo electrónico. Este test se presenta de vital importancia, ya que como hemos visto en el artículo anterior, esta vulnerabilidad está siendo utilizada de forma masiva por los gusanos de nueva generación y ya hemos podido comprobar sus efectos en especímenes como Nimda, BadTrans o el más reciente Klez.
En este caso, el virus que aprovechaba la vulnerabilidad IFRAME/MIME era recibido por correo electrónico, a través de Outlook Express, en el sistema donde se encontraba el producto a evaluar. Se consideraba que el antivirus realizaba bien la detección si alertaba nada más recibirse el mensaje y evitaba que el virus pudiera autoejecutarse. Afortunadamente fueron varios los productos que pasaron con acierto esta prueba.
Por último creamos un gusano en Visual Basic Script utilizando diversas técnicas de ofuscación a nivel de código, con la idea de burlar las técnicas heurísticas que se basan en identificar porciones de código comúnmente utilizadas. El gusano llegaba por correo electrónico, a través del servidor de correo que montamos en la red local, e intentábamos ejecutarlo en el sistema donde estaba instalado el antivirus a evaluar. Sólo Kaspersky y Norton lograron detectar el gusano cuando tratábamos de ejecutarlo, logrando propagarse con el resto de productos evaluados.
Merece mención especial en este apartado el antivirus VirusScan de McAfee, que aunque permitió que el gusano se propagara, terminó detectando su actividad al alertar que habían sido enviados varios mensajes con el mismo asunto.

Formatos de compresión
Otra de las pruebas clásicas en una comparativa antivirus consiste en enfrentar a los antivirus contra muestras que han sido comprimidas con diferentes formatos clásicos. Estos resultados tienen un interés relativo, ya que normalmente antes de abrir o ejecutar un archivo comprimido éste tiene que ser descomprimido en el disco duro. En ese instante el antivirus residente podrá detectarlo sin necesidad de tener que soportar el formato de compresión y haberlo reconocido con anterioridad.
Sin embargo existe un gran riesgo cuando se utilizan compresores ejecutables. Estas utilidades tienen la particularidad de comprimir un ejecutable en otro fichero, también ejecutable, que al lanzarlo descomprimirá y ejecutará el original en memoria. A efectos prácticos, si un virus, gusano o troyano es comprimido como un ejecutable en un formato no reconocido por el antivirus, éste no tendrá forma de detectar el código malicioso por su firma. Esta técnica, no muy conocida, está siendo utilizada de forma regular para introducir back-doors ya conocidos, como BackOrifice o Netbus, y hacerlos invisibles a los antivirus de los usuarios.
También los creadores de virus suelen utilizar alguna de estas utilidades para reducir el tamaño de los ejecutables de sus especímenes antes de distribuirlos. Por todas estas razones el test de compresores ejecutables se considera crítico, ya que permitiría a los antivirus que lo soporten poder realizar detecciones proactivas que pasarían inadvertidas de otra forma.

Tests clásicos
Dentro de los tests clásicos, no por ello menos importantes, evaluamos la capacidad de los antivirus para detectar virus conocidos. Para ello hemos agrupado todas las muestras de malware en diferentes grupos, según formatos, y los hemos enfrentado a los diferentes antivirus a demanda. Destacan de forma especial, por su interés y volumen, las colecciones de binarios, macros y troyanos/backdoors.

Aladdin eSafe Desktop v3.1
ESafe Desktop es uno de los productos que incorpora más tecnologías proactivas en la lucha contra los virus y resto de peligros que nos pueden acechar desde Internet. Además de un antivirus, eSafe Desktop está integrado por un firewall personal, una sandbox que nos proporcionará un entorno seguro donde ejecutar las aplicaciones que no sean de total confianza, y un monitor a nivel de sistema que podremos configurar a medida y que detectará actividades sospechosas.
En el plano teórico es la solución que mejor se adapta a la filosofía que hemos defendido en el artículo anterior, donde demandábamos tecnologías que fueran capaces de detectar los agentes infecciosos sin depender de la actualización de las firmas del antivirus.
En la práctica

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información