Inicio
Fotos
Humor
Mas información
RSS
Sugerencias
Discutir

Antivirus

Existen leyes que prohíben publicar los fallos de los programas, un ejemplo es el caso Guillermito. Actualmente trabaja en Boston como investigador, francés de origen español. Una empresa de antivirus publicó en Internet que su programa era infalible para los virus actuales y futuros, Guillermito publicó una serie de fallos en el programa para demostrar que no era tal como se podía leer en su publicidad. A raíz de esto la empresa lo denunció y actualmente a perdido la apelación y ha sido condenado a pagar un multa de 15.000 euros. Actualmente está recaudando la mult, perdón, esta solicitando donaciones para comprarse un nuevo antivirus (en Francia está prohibido solicitar dinero para pagar una multa )
Para más información :

20/05/2004 Juicio contra la seguridad informática 
http://www.hispasec.com/unaaldia/2034

02/03/2006- "Guillermito" pierde la apelación en el juicio con Tegam
http://www.hispasec.com/unaaldia/2686

Página de Guillermito :
http://www.guillermito2.net/index-tmp.html

En España existe una ley similar, en vigor desde 1-10-2004, aunque parezca que realmente protege contra la piratería del software y hardware, enseñar como se hace, o cobrar por ello, también sitúan fuera de la ley todas las páginas que informen sobre vulnerabilidades, mediante información técnica o enlaces a dichas páginas; y a cualquiera que comparta su conexión a Internet con un vecino, mediante una red de cable o wireless.
Para más información :

Código penal :
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t13.html#a286

Mas información legal :
http://www.bufetalmeida.com/

Vamos a ponernos a trabajar después del tostón anterior, la intención es comprobar la eficacia de algunos antivirus, tan solo para que tengáis más conocimientos, en ningún caso para que los proveéis en otro equipo que no sea el vuestro.

Los antivirus utilizan varias formas de detectar los virus, el método de las firmas es el mas común. Consiste en detectar varios grupo de bytes dentro del fichero que lo hacen único y por los que se puede detectar y localizar el virus. Primero tiene que pasar el virus por los laboratorios para que pueda ser detectado por cada uno de los antivirus. Si queréis mas información sobre los tiempos de reacción sobre un virus en concreto visitar :

http://www.hispasec.com/unaaldia/2221

http://www.hispasec.com/unaaldia/2223

Prueba si tu antivirus funciona : 

http://www.vsantivirus.com/eicar-test.htm
http://www2.hispasec.com/tests/eicar/

Vamos a usar el servicio de archivos sospechosos de VirusTotal , mandaremos dos exploits, aun no siendo virus sus códigos si los usan, y son detectados como tales; una herramienta para encontrar huecos en ejecutables, y finalmente un virus que me llegó por correo, menos mal de mi antivirus.

Los pasaremos por dos compresores-decodificadores PE . PE es el formato de todos los ficheros ejecutables de todas las plataformas WIN32, para explicarlo sencillo; se encuentra dividido en secciones y en la parte inicial se recopilan toda una serie de información sobre el archivo; si comprimimos o codificamos esas secciones mediante un programa compresor-decodificador PE obtendremos un archivo que en el caso del compresor tiene un tamaño menor y en el decodificador se hace mas difícil de interpretar; siendo todo el proceso transparente al usuario. Usaremos el UPX , mas dirigido a la compresión y el PE-SHIELD más dirigido al anticraqueo; en definitiva modifica el fichero y con el sistema de firmas no se reconoce, a no ser que los antivirus sea capaces de descodificar y descomprimir el fichero; ya veréis que si que lo consiguen pero no todos, Hemos usado dos pero existen muchos más. Para finalizar utilizaremos un método que leí en una  revista, consiste en ocultarlos en un paquete de instalación NSIS. Es un software que permite la creación de programas de instalación para windows, y es gratuito, podéis descargarlo en : http://nsis.sourceforge.net/Main_Page . También existen otros métodos como el publicado en una revista;  por cierto, una lástima que ya no se edite; llamado por su autor Rit, también podéis visitar http://foro.elhacker.net/index.php/topic,38580.0.htm para más información, o usar la herramienta Kme-32 . Nosotros no las vamos a usar. Recordar que todo lo descrito aquí es solo para que tengáis más información, no para usarlo malintencionadamente; la seguridad 100% no existe. En la siguiente tabla podéis ver los resultados, se marcan con una X las detecciones.

 

 

 

UPX

PE-SHIELD

NSIS

Antivirus

Exp1

Exp2

Herra

Virus

Exp1

Exp2

Herra

Virus

Exp1

Exp2

Herra

Virus

Exp1

Exp2

Herra

Virus

AntiVir

X X   X   X   X X X X          

Avast

X X X X X X   X X X   X        

AVG

      X       X                

Avira

X X X X   X   X                

BitDefender

X X X X X X X X X X   X        

CAT-QuickHeal

  X             X X X          

ClamAV

X   X X X     X                

DrWeb

X X   X X X   X X X   X X X   X

eTrust-InoculateIT

      X X X   X X X   X        

eTrust-Vet

X     X X     X                

Ewido

X X X X X X X X                

Fortinet

X X X X X X X X X X X X        

F-Prot

X X   X   X   X                

Ikarus

X X   X X X   X                

Kaspersky

X X X X X X X X X X X X X X X X

McAfee

X X X X X X X X X X X X        

NOD32v2

X X X X X X X X X X X X X X X X

Norman

      X       X                

Panda

X X X X X X   X   X   X        

Sophos

X X X X X X X X   X X X        

Symantec

X X X X   X                    

TheHacker

X X X X   X X       X          

UNA

X X X X X X   X                

VBA32

X X X X X X X X                

Como conclusiones podríamos decir que con un 80% son detectados los archivos como virus, al empaquetarlos con UPX el porcentaje de detección baja al 66%, y con PE-SHIELD disminuye al 42% y con NSIS no llega al 12%, tan solo tres antivirus con capaces de detectarlo. Creo que los mejores antivirus son DrWeb, Kaspersky y NOD32v2; aunque el primero no detecte la herramienta como un virus con el NSIS tampoco lo realiza con el archivo original.
También hemos probado con el compresor PE PCShrink los resultados son para el exploit1 el 37% ; para el exploit 2 el 41% ; para el virus el 45% ;siendo el total un 41%.
Sería muy interesante que os descargarais un artículo sobre como anular la detección de ficheros :
antivirus.zip

 

Las preguntas o problemas acerca de este sitio Web deben dirigirse a [Buzón de Sugerencias].
Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons.