Hispasec - Seguridad Informática

	In English

Comparativa Antivirus 1999: Virus que no son virus

· Comparativa Antivirus 1999

Introducción
	· La amenaza crece · Virus mIRC · Troyanos Internet · Detección y eliminación de troyanos Internet · Nuevos medios de infección · Un virus letal · El peligro de la Red · Virus por e-mail ¿realidad o ficción? · Parvo: Una nueva generación de virus informáticos

Análisis
	· La madre de todas las pruebas · Pruebas de detección · Muestra de virus zoo · Virus Bat · Los virus más modernos · Virus mIRC · Troyanos · Virus de macro · Virus de boot · Virus binarios · Archivos comprimidos · Archivos comprimidos (II) · El módulo residente · El módulo residente (II) · Protección internet · Virus que no son virus

Pruebas de servicios
	· ¿Estamos realmente protegidos? · El desafio · Las primeras respuestas · El día después · La respuesta de Panda · La vacuna de Panda · MBR infectada · Un largo fin de semana · Comportamientos reprochables · La semana siguiente · La prueba terminó · Ithaqua, un virus altamente complicado · La lista «In The Wild» · Horarios de atención al usuario

Productos
	· Diez luchando contra miles · AVP · Command · Dr.Solomons Antivirus Toolkit · F-Secure · Norman · Norton Antivirus 5.0 · Panda Antivirus Platinum · ThunderByte · Sophos · VirusScan · Detrás de las pruebas

Lo que no se publicó
	· La prueba no había terminado · El primer e-mail: Nuestro mensaje · Respuesta de F-Secure (1) · Respuesta de Panda · Respuestas de SC2 y NAi · Segunda respuesta de F-Secure · La solución de Panda · Norton: Respuesta automática · Dr.Solomons y el número de registro · Respuesta de Sinutec · Panda... Continua trabajando · Panda... Nueva solución · Respuesta de AVP · La solución de AVP · La segunda respuesta de SC2 · La solución de NAi · La solución de F-Secure · Tabla de no virus

Volver al indice de articulos

Para nuestras pruebas hemos empleado una completa muestra de virus, muy superior a la usada en cualquier otra comparativa similar. Muchos de estos virus provienen de diversas fuentes, coleccionismo, amigos, Internet, BBSs, etc. La gran diversidad de fuentes ha dado lugar a un hecho curioso, la detección de virus que no son virus.

Los usuarios de BBS, Internet, etc., conocerán que en numerosas ocasiones los ficheros que se bajan comprimidos se acompañan de un pequeño fichero ejecutable, conocido por intro, que promociona el lugar del que se ha bajado el programa. Estas «demos» son archivos totalmente inofensivos e inocuos, y nos los encontramos sea cual sea el tipo de material que se reciba.

También son bastante conocidas por muchos usuarios las «bromas residentes». Programas sin ningún efecto dañino, que lo único que hacen es quedarse residentes hasta que ha pasado un tiempo o se pulsa una determinada tecla. Con lo que tampoco merecen el calificativo de virus.

Sorprendentemente en nuestro análisis hemos descubierto como la gran mayoría de las firmas y productos analizados califican a este tipo de programas como virus. Hemos desarrollado también una tabla con el número de falsos virus detectados, en esta tabla al contrario que en las demás, el producto con mayor índice puede ser calificado como peor, o como «más mentiroso». Como se puede ver en este aspecto el peor parado es Panda

Virus que no son virus
Total	145
Norton	27
Norman	15
ThunderByte	28
Panda	40
VirusScan	23
Dr.Solomons	23
F-Secure	41
AVP	30
Sophos	24
Command	8

Panda por ejemplo, llega a detectar un gráfico en modo texto de una BBS como el «virus Kool-Aid». Al solicitar información sobre éste virus, no recibimos ninguna, pues el programa no es virus. Sophos por ejemplo detecta el programa «ANZUELO.COM» como «Troj/Anzuelo». Se trata de un COM que al ejecutarlo muestra en pantalla «Soy un COM infectado!!», pero no hace nada más que eso, mostrar un mensaje en pantalla. Dr.Solomons por ejemplo detecta «april.exe » como «QScreen3 virus», se trata de una graciosa aplicación que simula un MSDOS, el cual al pulsar cualquier tecla nos muestra líneas de caracteres ininteligibles junto con sonidos. Con solo pulsar la tecla «ESC» saldremos de esta broma. El nuevo VirusScan parece heredar este defecto de Dr.Solomons.

Por otra parte AVP y ThunderByte solucionan la papeleta detectando el archivo pero avisando que es totalmente inofensivo. Por último felicitar a Command en este aspecto, a pesar de unos cuantos falsos positivos es el que mejor se ha portado con diferencia.