Articulo: ¿Es realmente eficaz tu antivirus?

21/02/2005 - 14:06 por Ubuntu | Informe spam
*Por favor las replicas a microsoft.public.es.seguridad


¿ES REALMENTE EFICAZ TU ANTIVIRUS?
http://www.seguridad0.com/index.php...dd5&ID06


A estas alturas hablar de programas antivirus, o sobre cuál de ellos
es mejor, puede resultar absurdo. La guerra actual parece decantarse
por ver qué fabricante es el primero que lanza la actualización
antivirus que parchea el último virus, troyano o gusano descubierto. Y
la guerra es bastante reñida.

Sin embargo, la diferencia principal entre uno y otro programa
antivirus radica en conocer cuáles son las características añadidas de
un programa con respecto a sus competidores; y si éste, después de
haberse sometido a una serie de pruebas, es capaz de superarlas todas.

Y de eso versa este artículo. Vamos a detallar una serie de pruebas,
realizadas a mano, para comprobar la eficacia de nuestro antivirus. Y
al final, incluiremos algunas herramientas que llevan a cabo esta
labor de forma automatizada.


Siete son los test que vamos a realizar. Los vamos enumerando uno por
uno.

1. Crea un fichero de texto llamado Kak.hta y escribe en el mismo la
siguiente línea

CreateObject()

Guarda el fichero y envíatelo por correo electrónico. Si el antivirus
detecta y elimina el fichero la prueba habrá sido superada.


2. Si tu servidor de correo tiene asociado un antivirus o utiliza una
pasarela antivirus, accede a tu servidor de correo usando Telnet como
sigue

telnet miempresa.com 110

como comandos RAW teclea

user (nombre de usuario)
pass (contraseña)
retr (número del mensaje)

Ahora comprueba los logs del servidor de correo. Si encuentras un
mensaje advirtiendo que la recepción de correo se analizó y que
descubrió que los mensajes de correo habían sido consultados con
Telnet, el antivirus supera la prueba. Si no indica nada sobre la
consulta Telnet el antivirus no está funcionando correctamente, ya que
no registra los intentos de hacking.


3. Una buena característica de un antivirus de última generación es su
capacidad para comportarse como filtro antispam. Para ello la
siguiente prueba consiste en activar el filtro de contenidos y
enviarse uno a sí mismo un mensaje cuyo cuerpo contenga el siguiente
texto "XXX". Si el mensaje es catalogado como spam, el antivirus es un
excelente filtro de contenidos. Todo mensaje catalogado como spam en
su asunto debería disponer de una regla por la cual todo mensaje
entrante y así catalogado debería ser enviado a la bandeja Elementos
eliminados.


4. ¿Qué tal trata el antivirus los ficheros adjuntos comprimidos? Una
buena prueba consiste en enviarse desde una cuenta de correo gratuita
(Hotmail, Gmail, etc.) un mensaje con algún archivo comprimido en
formato ZIP. Para que el antivirus actúe, debe estar activada la
opción "Descomprimir archivos adjuntos entrantes" o "Analizar archivos
adjuntos", o una frase similar. Si tu antivirus analiza el fichero
adjunto la cosa va bien. Pero algunos antivirus van más lejos, y
aparte de analizar el archivo adjunto, lo descompacta, y te lo deja
anexo en el mismo mensaje, cuando éste es abierto.


5. Algunos antivirus avanzados cuentan con características de firewall
al mismo tiempo. Si está habilitado el permiso de acceso remoto o las
opciones de cortafuegos, éste impedirá la modificación de determinados
ficheros remotamente, ya sea por la acción de un hacker o por el
intento de algún gusano o troyano. Pongamos un ejemplo, supongamos un
antivirus con esta característica. Desde un ordenador de la red
accedamos al ordenador que disponga de un antivirus con esta opción.
Abramos el fichero AUTOEXEC.BAT del ordenador víctima, y pulsemos
sobre el botón Guardar como. Si el ordenador víctima impide guardar el
archivo por encontrarse en modo lectura, el antivirus está funcionando
casi como un cortafuegos, impidiendo que los troyanos puedan actuar
contra la víctima. Si el antivirus, además, permite indicar todo tipo
de extensiones de archivo y carpetas para impedir su modificación
remota, está actuando correctamente.


6. Otro problema añadido lo constituyen los pop-ups. Mediante esta
característica algunas páginas web consiguen introducir dialers y
malware, en el ordenador de la víctima. Esta características es
aprovechada en páginas de sexo y pirateo de programas. De esta guisa
navegadores como Mozilla Firefox se encuentran protegidos, pero no
ocurre lo mismo con Internet Explorer. Un antivirus con el bloqueo de
pop-ups activo tiene que detener la apertura de ventanas adicionales.
Probemos a visitar una página web como
http://www.mwti.net/testpop/test1.htm y veamos si el bloqueo de
pop-ups funciona con las diversas pruebas, informando de ello.


7. Por último, las nuevas técnicas para la introducción de virus y
gusanos pasan por estar ocultos en páginas web que visitamos. Por ese
motivo algunas empresas optan por restringir el acceso a determinados
sitios web peligrosos, a modo de filtro de contenidos. Supongamos que
el antivirus dispone de esta opción. Ahora vayamos a Google y hagamos
una búsqueda por la palabra "sex" o "sexo". Dentro de lo posible el
filtro tiene que analizar el título de cada página web, y tener
habilitado el filtrado en rating RSACi, ICRA y SafeSurf. Para que esta
característica del antivirus funcione es necesario reiniciar el
navegador e incluso el ordenador.



Test automáticos

Estas sencillas prueban demuestran las capacidades del antivirus. Pero
también es posible someterlo a pruebas adicionales, mediante un
proceso automático.

Vamos a acceder a la página web http://www.gfi.com/emailsecuritytest.
Aquí habrá que introducir el correo electrónico personal, y luego
confirmar desde nuestro cliente de correo que queremos someternos a
estas pruebas. Llegarán del orden de unas 20 pruebas distintas en
formato de mensajes. Cabe comprobar si todos y cada uno de los e-mails
son detectados como virus por nuestro programa antivirus. La
efectividad se comprueba por el tanto por ciento de mensajes que son
detectados como virus. Cabe hacer notar que los mensajes enviados
contienen pruebas inocuas para nuestro equipo.

Si las pruebas anteriores no nos parecen suficientes aún nos queda un
sitio web donde realizar otro test similar:
http://www.webmail.us/testvirus

Ni más ni menos que 27 tipos de pruebas mediante virus ficticios.
También necesita comprobar que el sujeto al que se le quieren enviar
los mensajes está dispuesto a someterse a estas pruebas. De entre
todas ellas las más interesantes son la 26, que envía un fichero
supuestamente infectado en un doble ZIP; y la 27, que remite un
fichero manipulado para evadir algunos antivirus, cambiando la
descompresión del fichero a tamaño 0 dentro de la cabecera del ZIP.

Si todas y cada una de las pruebas han sido superadas por tu antivirus
estás de enhorabuena. No tienes por qué temer a prácticamente nada. Si
no es así, deberías revisar si tienes el antivirus adecuado a tus
necesidades.



Un antivirus distinto

Como no es nuestra intención desprestigiar a ningún fabricante de
antivirus, vamos a omitir los resultados que hemos encontrado en las
diversas pruebas que hemos realizado con varias marcas. No obstante, a
más de uno le sorprendería, teniendo en cuenta que muchos de ellos son
los habituales en cualquier Windows de escritorio.

Con todo, y puesto que recientemente Seguridad0 se ha convertido en
distribuidor en exclusiva para España de la solución antivirus eScan,
hemos sometido a este antivirus a todas las pruebas descritas en este
artículo. Todos los tests fueron realizados con el software eScan
Corporate, aunque se puede probar con cualquiera de sus versiones.

eScan aprobó todos y cada uno de los test. Ningún mensaje con estas
pruebas pasó más allá del antivirus, y éste eliminó los ficheros
adjuntos, informado al administrador de la posible entrada de un
virus.



Más información sobre los programas distribuidos por Seguridad0
http://www.seguridad0.com/index.php...selected=3



Autor: Carlos Mesa


Los materiales publicados en Seguridad0 se encuentran protegidos por
una licencia libre de Creative Commons que permite copiar,
redistribuir, modificar y hacer trabajos derivados, simplemente con
mencionar la fuente y la URL.
http://creativecommons.org/licenses...sa/2.0/es/


Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
 

Leer las respuestas

#1 Diego Calleja
21/02/2005 - 14:17 | Informe spam
El Mon, 21 Feb 2005 14:06:57 +0100,
Ubuntu escribió:

¿ES REALMENTE EFICAZ TU ANTIVIRUS?



Ninguno lo es al 100. ¿Cuantos antivirus detectaron el sasser? Por eso tener un mínimo
de sentido común es necesario. Con el virus sasser, los únicos que se libraron fueron
los que tuvieron el suficiente sentido común como para actualizarse y/o tener un
firewall. Los que confiaron toda su protección antivirus a un programa antivirus, que
fueron la mayoríaya sabemos lo que les paso ;) Y luego alguno de por aquí se intenta
burlar cuando se habla de tener sentido común...

Autor: Carlos Mesa



Que sorpresa. Ahora me explico la publicidad totalmente descarada de seguridad0
en el artículo y las pruebas tan sosas que hacen

Preguntas similares