Publicado por Seguridad0.com
A estas alturas hablar de programas antivirus, o sobre cuál de ellos es mejor, puede resultar absurdo. La guerra actual parece decantarse por ver qué fabricante es el primero que lanza la actualización antivirus que parchea el último virus, troyano o gusano descubierto. Y la guerra es bastante reñida.
Sin embargo, la diferencia principal entre uno y otro programa antivirus radica en conocer cuáles son las características añadidas de un programa con respecto a sus competidores; y si éste, después de haberse sometido a una serie de pruebas, es capaz de superarlas todas.
Y de eso versa este artículo. Vamos a detallar una serie de pruebas, realizadas a mano, para comprobar la eficacia de nuestro antivirus. Y al final, incluiremos algunas herramientas que llevan a cabo esta labor de forma automatizada.
Siete son los test que vamos a realizar. Los vamos enumerando uno por uno.
1. Crea un fichero de texto llamado Kak.hta y escribe en el mismo la siguiente línea
CreateObject()
Guarda el fichero y envíatelo por correo electrónico. Si el antivirus detecta y elimina el fichero la prueba habrá sido superada.
2. Si tu servidor de correo tiene asociado un antivirus o utiliza una pasarela antivirus, accede a tu servidor de correo usando Telnet como sigue
telnet miempresa.com 110
como comandos RAW teclea
user (nombre de usuario)
pass (contraseña)
retr (número del mensaje)
Ahora comprueba los logs del servidor de correo. Si encuentras un mensaje advirtiendo que la recepción de correo se analizó y que descubrió que los mensajes de correo habían sido consultados con Telnet, el antivirus supera la prueba. Si no indica nada sobre la consulta Telnet el antivirus no está funcionando correctamente, ya que no registra los intentos de hacking.
3. Una buena característica de un antivirus de última generación es su capacidad para comportarse como filtro antispam. Para ello la siguiente prueba consiste en activar el filtro de contenidos y enviarse uno a sí mismo un mensaje cuyo cuerpo contenga el siguiente texto "XXX". Si el mensaje es catalogado como spam, el antivirus es un excelente filtro de contenidos. Todo mensaje catalogado como spam en su asunto debería disponer de una regla por la cual todo mensaje entrante y así catalogado debería ser enviado a la bandeja Elementos eliminados.
4. ¿Qué tal trata el antivirus los ficheros adjuntos comprimidos? Una buena prueba consiste en enviarse desde una cuenta de correo gratuita (Hotmail, Gmail, etc.) un mensaje con algún archivo comprimido en formato ZIP. Para que el antivirus actúe, debe estar activada la opción "Descomprimir archivos adjuntos entrantes" o "Analizar archivos adjuntos", o una frase similar. Si tu antivirus analiza el fichero adjunto la cosa va bien. Pero algunos antivirus van más lejos, y aparte de analizar el archivo adjunto, lo descompacta, y te lo deja anexo en el mismo mensaje, cuando éste es abierto.
5. Algunos antivirus avanzados cuentan con características de firewall al mismo tiempo. Si está habilitado el permiso de acceso remoto o las opciones de cortafuegos, éste impedirá la modificación de determinados ficheros remotamente, ya sea por la acción de un hacker o por el intento de algún gusano o troyano. Pongamos un ejemplo, supongamos un antivirus con esta característica. Desde un ordenador de la red accedamos al ordenador que disponga de un antivirus con esta opción. Abramos el fichero AUTOEXEC.BAT del ordenador víctima, y pulsemos sobre el botón Guardar como. Si el ordenador víctima impide guardar el archivo por encontrarse en modo lectura, el antivirus está funcionando casi como un cortafuegos, impidiendo que los troyanos puedan actuar contra la víctima. Si el antivirus, además, permite indicar todo tipo de extensiones de archivo y carpetas para impedir su modificación remota, está actuando correctamente.
6. Otro problema añadido lo constituyen los pop-ups. Mediante esta característica algunas páginas web consiguen introducir dialers y malware, en el ordenador de la víctima. Esta características es aprovechada en páginas de sexo y pirateo de programas. De esta guisa navegadores como Mozilla Firefox se encuentran protegidos, pero no ocurre lo mismo con Internet Explorer. Un antivirus con el bloqueo de pop-ups activo tiene que detener la apertura de ventanas adicionales. Probemos a visitar una página web como http://www.mwti.net/testpop/test1.htm y veamos si el bloqueo de pop-ups funciona con las diversas pruebas, informando de ello.
7. Por último, las nuevas técnicas para la introducción de virus y gusanos pasan por estar ocultos en páginas web que visitamos. Por ese motivo algunas empresas optan por restringir el acceso a determinados sitios web peligrosos, a modo de filtro de contenidos. Supongamos que el antivirus dispone de esta opción. Ahora vayamos a Google y hagamos una búsqueda por la palabra "sex" o "sexo". Dentro de lo posible el filtro tiene que analizar el título de cada página web, y tener habilitado el filtrado en rating RSACi, ICRA y SafeSurf. Para que esta característica del antivirus funcione es necesario reiniciar el navegador e incluso el ordenador.
Test automáticos
Estas sencillas prueban demuestran las capacidades del antivirus. Pero también es posible someterlo a pruebas adicionales, mediante un proceso automático.
Vamos a acceder a la página web http://www.gfi.com/emailsecuritytest. Aquí habrá que introducir el correo electrónico personal, y luego confirmar desde nuestro cliente de correo que queremos someternos a estas pruebas. Llegarán del orden de unas 20 pruebas distintas en formato de mensajes. Cabe comprobar si todos y cada uno de los e-mails son detectados como virus por nuestro programa antivirus. La efectividad se comprueba por el tanto por ciento de mensajes que son detectados como virus. Cabe hacer notar que los mensajes enviados contienen pruebas inocuas para nuestro equipo.
Si las pruebas anteriores no nos parecen suficientes aún nos queda un sitio web donde realizar otro test similar: http://www.webmail.us/testvirus
Ni más ni menos que 27 tipos de pruebas mediante virus ficticios. También necesita comprobar que el sujeto al que se le quieren enviar los mensajes está dispuesto a someterse a estas pruebas. De entre todas ellas las más interesantes son la 26, que envía un fichero supuestamente infectado en un doble ZIP; y la 27, que remite un fichero manipulado para evadir algunos antivirus, cambiando la descompresión del fichero a tamaño 0 dentro de la cabecera del ZIP.
Si todas y cada una de las pruebas han sido superadas por tu antivirus estás de enhorabuena. No tienes por qué temer a prácticamente nada. Si no es así, deberías revisar si tienes el antivirus adecuado a tus necesidades.
Un antivirus distinto
Como no es nuestra intención desprestigiar a ningún fabricante de antivirus, vamos a omitir los resultados que hemos encontrado en las diversas pruebas que hemos realizado con varias marcas. No obstante, a más de uno le sorprendería, teniendo en cuenta que muchos de ellos son los habituales en cualquier Windows de escritorio.
Con todo, y puesto que recientemente Seguridad0 se ha convertido en distribuidor en exclusiva para España de la solución antivirus eScan, hemos sometido a este antivirus a todas las pruebas descritas en este artículo. Todos los tests fueron realizados con el software eScan Corporate, aunque se puede probar con cualquiera de sus versiones.
eScan aprobó todos y cada uno de los test. Ningún mensaje con estas pruebas pasó más allá del antivirus, y éste eliminó los ficheros adjuntos, informado al administrador de la posible entrada de un virus.
Más información sobre los programas distribuidos por Seguridad0
http://www.seguridad0.com/index.php?&top_selected=3
Autor: Carlos Mesa
