Mitos y verdades en la seguridad de los antivirus

Mitos y verdades en la seguridad de los antivirus

En primer lugar quisiera distinguir entre los virus 'In The Wild' (virus de difusión masiva; generalmente gusanos) y los virus de coleccionistas.
Recuerdo que cuando hice una prueba independiente con cierto antivirus poco conocido, quedé muy decepcionado por los resultados obtenidos; sin embargo cuando lo sometí únicamente a virus 'In The Wild', era muy superior a otros antivirus mucho más conocidos.
Si somos realistas hemos de pensar que muy rara vez nos vamos a encontrar en Internet con un virus raro de coleccionista, así que parece a priori una buena política concentrar los mayores esfuerzos en protegernos de los virus de difusión masiva. Aún así nunca descartemos los otros virus, los más raros, porque son muy utilizados cuando alguien quiere atacar únicamente el ordenador de una víctima determinada (los virus 'In The Wild' están hechos pensando más en una infección masiva impersonal).
Otro aspecto que quiero abordar es el tiempo de reacción de las compañías antivirus ante una nueva amenaza. ¡Que nadie piense que actualizando todos los días su antivirus está totalmente protegido contra todos los virus!.
Esto lo sabemos muy bien los coleccionistas que estamos 'a la caza' de virus y troyanos en las Webs de sus creadores. Es muy curioso descargarme un virus de una Web y observar en los días siguientes cuánto tiempo tardan las empresas antivirus en activar la vacuna correspondiente.
Piensen Uds. que en esos días de investigación de la solución en los laboratorios de las empresas antivirus, nuestros ordenadores pueden quedar infectados si tenemos mala suerte.
¿Me preguntan Uds. por el tiempo de reacción de las compañías antivirus?. Desde luego es muy variable. Depende de varios factores:
1. La difusión del virus: Cuanto más difundido esté el virus, más esfuerzos emplearán en su detección.
2. La fama que tenga su creador o la Web donde aparecerá: Es obvio que todos los laboratorios de las compañías antivirus estarán más pendientes del trabajo de un programador famoso como MobMan (el programador de Sub7) que de otro más bisoño y desconocido.
3. Las dificultades propias de la encriptación del código fuente del virus. Cuanto más polimórfico sea y más funciones dañinas posea, más tiempo llevará su estudio y detección.
4. El número de investigadores y laboratorios que la empresa antivirus posea. Cuantos más sean, mejor.
5. La sagacidad de las compañías antivirus para buscar nuevos virus en Internet. En algunas páginas de programadores de virus he visto como le prohibían el acceso a ciertas IPs que habían identificado como provenientes de empresas antivirus. Es muy importante que esas empresas se infiltren en foros, en Webs y en esos ambientes donde se gestan las mayores amenazas de Internet.
Con todo lo expuesto arriba, el tiempo de reacción de las compañías antivirus fluctúa desde sólo unas horas después de los primeros infectados hasta varias semanas e incluso meses. De todo he visto en los años que estoy encima de esta cuestión.
Para evitar que quedemos infectados en ese período de tiempo, muchos antivirus presumen de tener un motor heurístico muy potente que puede protegernos de las amenazas que no están aún en su base de datos.
Esto de los motores heurísticos es muy discutible y ahora explico la razón.
En teoría el motor heurístico sigue unos parámetros semi-inteligentes para detectar el código maligno del virus. Si bien se muestran algunos muy eficaces en cuanto a los gusanos y determinado tipo de virus, en cambio su rendimiento baja espectacularmente cuando enfrentamos el motor heurístico a los troyanos.
Además voy a decirles que los programadores de virus suelen 'trabajar' el código fuente de sus virus hasta que son indetectables para los antivirus: ¡Y al final esto siempre lo pueden conseguir si se lo proponen!.
Otro aspecto negativo de los motores heurísticos es que a veces provocan falsas alarmas ante el código inofensivo de ciertos programas. Esto hace que nos sintamos más incómodos manejando los antivirus.
Finalmente quisiera abordar la cuestión más delicada de todas. Vamos a expresarlo bien claro aunque la reflexión pueda suscitar alguna preocupación en nuestros lectores: Hoy en día es factible modificar aspectos de un virus antiguo o moderno para volverlo a hacer indetectable ante todos los antivirus de la actualidad.
Cierto es que esto no se puede realizar con el código de cualquier virus (a menos que pierda todas las características originales: pero en este caso ya no estaríamos hablando del mismo virus sino de otro nuevo). Los troyanos se prestan muy bien a estas modificaciones y puedo asegurarles a Uds. que poseo en mi colección servidores del troyano Sub7 modificados (siempre con objetivos de investigación) que ningún antivirus conocido en la actualidad detectan.
Existen técnicas de ocultación del código bien conocidas en los foros de los programadores de virus y sorprendentemente son fáciles de aplicar. ¡Algún desaprensivo puede reactivar un viejo troyano otra vez si así se lo propone!.
Generalmente si un antivirus detecta el código de un programa vírico, es muy difícil modificar el código de ese virus sin modificar sus funciones.
Algunos intentan hacer esto con editores hexadecimales, pero la mayoría de las veces acaban desistiendo porque es casi imposible (si no se poseen conocimientos suficientes) engañar al antivirus una vez que posee la secuencia del código en su base de datos. Más bien la técnica aplicada con más éxito radica en la compresión y posterior encriptación del código, seguidas de otras técnicas colaterales que pueden ser también necesarias dependiendo de la naturaleza del virus. No detallaré el procedimiento como es lógico, pero les aseguro que en algunos casos los resultados son preocupantes para nuestra seguridad.
Afortunadamente la reactivación de viejos virus 'In The Wild' está muy controlada por las compañías antivirus y rápidamente tenemos la 'vacuna' correspondiente a las pocas horas. Es por ello que al principio del artículo insistía en eliminar los alarmismos innecesarios. El único inconveniente radica en los virus y troyanos de coleccionistas que alguien modifica subrepticiamente para atacar específicamente a una víctima. Esos virus modificados nunca tendrán repercusión masiva en Internet y permanecerán indetectables en el ordenador de la víctima haciendo su función maligna.
Mi propósito a la hora de escribir este artículo no ha sido otro que el de acabar con unos cuantos mitos que circulan por Internet sobre los virus y los antivirus. Sólo permaneciendo informados podemos saber a lo que nos exponemos y a lo que no nos exponemos. Podríamos resumir el artículo en las siguientes frases:
1. Debemos evitar la falsa percepción de seguridad que tenemos cuando actualizamos diariamente nuestro antivirus. Aún con la actualización (necesaria por otra parte) podemos quedar infectados si no tomamos las precauciones que nos dicta el sentido común (no descargar archivos de procedencia dudosa, no aceptar nada de un desconocido en el IRC, etc.).
2. Un buen motor heurístico en un antivirus que apenas tiene bases de virus no ofrece la suficiente garantía porque, como he explicado antes, siempre puede ser evitado por un programador de virus si se lo propone. En este caso la fiabilidad de los motores heurísticos depende de la fama que posea el antivirus. Si el antivirus es muy famoso, el programador de virus lo tomará como referencia para esquivar su detección; en cambio, si no es famoso entonces podría pasar inadvertido y así tendría éxito. Sé que es muy discutible lo que acabo de afirmar, pero después de algunos años de investigación independiente en este terreno, es la conclusión a la que he llegado.
3. Para acelerar el tiempo de reacción ante una nueva amenaza vírica, las compañías antivirus deben adquirir una conciencia activa de trabajo y nunca pasiva. Muchas veces no reaccionan hasta que no tienen a varios de sus clientes infectados y les envían las muestras de los archivos infectados. No hay que dar lugar a eso si es posible. Para ello deben salir con más decisión a la búsqueda de los virus por Internet, infiltrándose en foros, visitando Webs de virus, comunicándose en el IRC con los programadores de virus para intercambiar impresiones; exactamente lo que investigadores ociosos como yo hacemos todos los días por puro placer.
4. Las bases de virus de los antivirus no suelen tampoco reflejar fielmente la calidad de detección de un antivirus. Algunos productos de este tipo, los que llevan más tiempo en el mercado, presumen de poseer inmensas bases de virus que superan las 60.000. Habría que estudiar con mucho detenimiento esas bases porque en muchos casos observamos que para conseguir un número más elevado recurren a identificar como amenazas víricas unos programas que son totalmente inofensivos para el ordenador en el que se instalan. Me refiero a los Nukers, Flooders, etc. ¿Por qué detectar un programa que no causa ningún daño al ordenador donde está instalado el antivirus?. Aún así pueden orientarnos un poco sobre el número de bases de virus.
5. Cuando vayan a instalar un antivirus, estudien antes varias comparativas (cuantas más, mejor). No se preocupen en exceso por los datos a veces muy contradictorios que suelen manejarse en los resultados de las comparativas. Es lógico que así suceda cuando se eligen condiciones iniciales para la prueba muy desemejantes. Tengan en cuenta quién hace la comparativa y qué fiabilidad nos merece. Prefieran siempre un antivirus con muchas bases de virus actualizadas con rapidez a uno que confíe demasiado sus aciertos a la heurística. Y sobre todo tengan en cuenta que no siempre el antivirus más caro y famoso es el mejor.

(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits,

Re: Mitos y verdades en la seguridad de los antivirus

esto es todo un negocio.... el tipico hacker crea un virus, lo pillan, paga multa o va a la carcel y despues cuando sale, lo contrata una empresa antivirus para "protejer" los pc's del virus que ha creado....

Si no tengo razon acepto criticas xD

salu2

Re: Mitos y verdades en la seguridad de los antivirus

pueden haber casos como los que tu dices pero tambien pueden ser fabricados por empresas "ningun veneno sale sin el antidoto" ademas es como el caso del ke arregla llantas antes de acostarse tira clavos a la calle para tener con que trabajar al dia siguiente

salu2

Re: Mitos y verdades en la seguridad de los antivirus

wenasssssssss



la verda es un articulo en el que comenta toda la realidad actual de la seguridad informatica , muy bien explicado para que lo entienda todo el mundo


solo difiero en una cosa con el colega Marcos Rico colaborador de vsantivirus:


los virus de coleccionistas o virus o troyanos modificados como bien dice normalmente estan echos para atakar a una gente en concreto.............. pero puedes hacerlos de propagacion masiva ,creando una gusano cosa muy sencilla con los generadores de worm y luego a este compilarle tu server indetecctable

luego simplemente es echarlo a andar y en menos de 10 dias tendras muchisimos infectados por un troyano de coleccionista o indetecctable en la que el gusano simplemente actua en este caso como trasmportador ........

estoy seguro que el amigo de el articulo esta al tanto de esto ,pero creo que se le paso por alto ,decir tambien que la mayoria de gusanos trasportadores son via usb , y simplemente con soltar el bicho en un instituto o un ciber (sin programa congelador) , y ese gusano trasportara el server de tu troyano y en menos de 10 dias tendras el cliente de tu troyano a tope de conexiones



la verda es una combinacion mortal gusano+server



bueno un saludo y wenas olassssssssssssssssssssssss