Antivirus

Hola chavalotes!!!

Estaba mirando el correo, cuando me sorprendió un correo de catxotrozo en el que me comentaba que se había decidido a lanzar su nuevo blog (un saludo desde aquí, y toma publicidad jeje) http://cuadernoloco.blogspot.com

Mirando sus posts, he visto uno en el que hablaba de antivirus gratuitos(en el cual enlazo en el título de esta noticia). Debido a mi experiencia laboral, me han dado ganas de hacer un post dando unas nociones de en que se basan los antivirus, antimalware, antispyware y demás productos del mismo estilo pero con distinto nombre del mercado.

En primer lugar, tengo que decir que un "virus de ordenador" no es ningún bicho infecto estilo cucaracha que salta de router en router para merendarse nuestros discos duros. Los virus son programas programados por personas reales que están diseñados para trabajar sin ser detectados mientras utilizamos normalmente nuestro ordenador, con el fin de hacer múltiples hazañas, como es robarnos nuestras claves del banco, copiarse nuestros ficheros del ordenador, o simplemente infectarnos todos nuestros ficheros ejecutables(exe,dll,scr,etc..) para ejecutarse en cada paso para saltar a otro ordenador.

Hay ciertas semi-leyendas urbanas que dicen que nos pueden reventar los altavoces o hacer explotar pantallas. Lo cierto es que se podrían conseguir algunos efectos como estropear dichos aparatos haciendo que el ordenador emita sonidos raros, o que cambien la resolución de la pantalla hasta que esta "diga vasta". Los virus más chungos, lo que si pueden hacer es insertarse en la parte software de componentes hardware, donde son prácticamente imborrables. Pero por suerte, de estos hay muy pocos casos.

Dentro de los virus, digamos que hay unas grandes familias según para que función hayan sido diseñados:
- Virus: simplemente infectan ficheros ejecutables, con el fin de que al abrir el programa, se abra el virus también.
- Troyanos: es un conglomerado genérico en el que te puedes encontrar de todo. Pueden abrirte puertas traseras en el ordenador(backdoors), permitir que controlen tu ordenador, hacer copias remotas de tus ficheros, etc... esta familia es tan genérica que también entrarían un poco dentro de ella el resto de las familias. También se podría denominar esta familiar como "Malware"(termino chapucero de marketing en el que se mezclan español e inglés de forma sospechosa. Recuerda a la típica persona de pueblo leyendo unas instrucciones de un aparato en inglés).
- Gusanos: Son programas que aparte de tener otras funciones, sirven para colapsar ordenadores y redes al copiarse masivamente de un lugar a otro de donde se encuentren.
- Spyware: Son programas dedicados a recolectar información acerca de como manejamos nuestro ordenador, y sobre todo lo que más les interesa es hacerse con nuestras claves de acceso a páginas web, entre ellas a las de nuestro banco.

Ahora me voy a los antivirus. Dentro de los antivirus, hay varias cosas importantes que se deben tener en cuenta a la hora de analizar un ordenador.
En primer lugar la manera en que se detectan los ficheros. Según como se coja la información de los ficheros a analizar, el escaneo de nuestro disco duro puede ser o muy lento o muy rápido. Como ejemplo, Panda tarda apenas 5 minutos en mirar un disco duro, mientras que un Kaspersky puede tardar días en analizarlo(también es cierto que Karspesky lo detectará mejor). El spyware es un virus como los demás, por lo que los antivirus que no ofrecen esta característica es para poder vender más diciendo que si la incluyen en productos superiores.
En segundo lugar viene el desempaquetado. Antiguamente los virus eran programados y compilados tal cual. Actualmente a esto se les añade una especie de compresión o empaquetado, el cual los hace mucho más difíciles de detectar en un análisis de disco. Actualmente hay una especie de carrera entre antivirus y generadores de virus por crear y desempaquetar empaquetados.
En tercer lugar es el tipo de detección de ficheros de disco. Como hemos dicho antes hay detecciones lentas y rápidas, pero las detecciones se pueden dividir en 3 grupos: Las detectadas, las genéricas y las preventivas.
Las detecciones detectadas son detecciones de virus que ya han sido reconocidos en la empresa y se han insertado en las actualizaciones del propio antivirus para que al reconocer el virus actúen en consecuencia.
Las genéricas son lo mismo que las detectadas, solo que con más criterios que nos alertarán de posibles mutaciones(modificaciones) del virus.
Las detecciones preventivas son detecciones de ficheros en los que se miran una serie de criterios del programa en el que si coinciden, se alerta de que pueden ser un posible virus.
Los antivirus que analizan muy lento los ficheros no pueden tener una preventiva muy exhaustiva porque ralentizaría exponencialmente el análisis de disco. Por eso el Karspersky lo que hace es tener unas detecciones y unas genéricas muy buenas, pero tiene unas preventivas nulas. Esto se puede demostrar cuando analizáis el disco en que rara vez vereis que os avisa de un posible virus, sin identificaros exactamente de cual se trata.
El tercer criterio es el análisis de memoria. En este análisis es donde los antivirus más "verdes" andan, y es en el que en mi opinión, antes consiga dominar este terreno, antes se llevará el gato al agua. Generalmente hoy en día lo que se hace es mirar que hay en memoria un proceso y ver a que fichero físico corresponde ese fichero. El problema con esto ha venido de la mano de los Rootkits, que han roto todo este proceso y por eso lo pasan tan mal los antivirus con este tema. Un rootkit es un programa que ha sido diseñado para ser invisible a los ojos de usuarios y antivirus. Utilizan varias técnicas, pero lo más conocida es la del grapling que envenena nuestras dlls de güindows y consigue hacer invisibles sus ficheros y sus procesos para ejecutarse sin ser detectados.
Por último el residente del antivirus. Aunque hay antivirus en los que su escaneo es muy rápido(ejemplo panda), su GUI es tan lenta que hace que el antivirus pierda eficacia. Un buen residente debería revisar la memoria, los ficheros de disco, los ficheros que se copian y se mueven, la paquetería TCP/IP, y alguna cosilla más, pero esto exige mucho rendimiento, demasiado aún para los PC's que hoy día tenemos.

Para dar una noción de que antivirus es mejor o peor, diría que si queréis uno de pago, el mejor en mi opinion es el NOD32, ya que combina de una manera eficiente todos los puntos anteriores. No se os ocurra comprar cosas como el Norton o el McAffe que son verdaderos cánceres para vuestros ordenadores(prefiero los virus a estos). Luego estaría el Panda, que aunque es muy rápido(a ojos del usuario muy lento por su pesimo GUI) no detecta todo lo que detecta un Nod32 o un Kaspersky. Y por último el kaspersky, que aunque a ojos del usuario va bien, no tiene heurísticas y tarda muchísimo (y con el tiempo mucho más, y desgraciadamente con un crecimiento exponencial) en analizar ficheros.

Otra cosa que debo deciros es que la batalla de los antivirus-virus es una partida perdida por parte de los antivirus. Hay muchas más empresas de generación de virus que de antivirus, y la sensación que nos intentan transmitir desde las casas de antivirus es de que este antivirus lo para todo, cuando es metira y cada vez más. Los bancos pierden diariamente una pasta con los virus, que evidentemente luego no sale a la luz publica para no crear más desconfianza. Si quereis libraros de esta lacra, informaros de alternativas de sistemas operativos como Linux, donde recomiendo Ubuntu. Si esta opción no os gusta, os recomiendo hacer análisis con varios antivirus cada cierto tiempo y formatear el disco duro una vez al año mas o menos.

Pues nada, espero que con la chapa al menos os haya quedado un poco más claro de que es mejor o pero opción.

PD: Ni se os ocurra meter en vuestros PC's programas con nombres como "SuperMegaAntiVirus" o "ComeMaxiSpyWare". Generalmente estos programas suelen ser virus encubiertos, y para nada cumplen sus espectativas. El típico engaño es que os detecta X virus en vuestro disco que otros no, y que si os los quereis quitar os compréis el programa depago.