Índice:
Introducción
El objetivo de nuestro trabajo es comprobar si realmente los antivirus gratuitos o freeware son suficientemente poderosos para evitar que los virus, troyanos, gusanos, etc. infecten nuestro ordenador o si por el contrario, para una buena defensa de estos molestos intrusos necesitamos pagar licencias a empresas como Symantec, Panda Software, McAfee o Kaspersky para sentirnos verdaderamente seguros. ¿Se cumplirá el tópico de que la calidad se paga?
El estudio se basará en el análisis de algunos antivirus gratuitos que podemos encontrar en la red, suponiendo conocido el comportamiento de los de pago. Para ello, probaremos los antivirus enumerados a continuación con su respectiva descripción, con virus actuales y con alguno de los más conocidos de hace una década: virus de macro, gusanos, un troyano y un virus de los denominados "broma" que a pesar de ser inofensivos son bastante molestos.
volver al índice
Procedimiento
Para comprobar la peligrosidad y los efectos del software maligno utilizamos, bajo Windows 2000, un ordenador con las siguientes especificaciones técnicas:
- Procesador Intel Pentium II-MMX a 400 MHz y 512KB de memoria caché
- Memoria SDRAM de 128 MB
- Disco duro Fugitsu de 4 GB
- Tarjeta de video ATI 3D RAGE PRO AGP 2X de 8MB
Nota: La causa de utilizar este ordenador y no otro más potente, es debido a que este estaba en desuso y no pasaba nada si se perdía la información guardada.
El desarrollo del trabajo se llevo a cabo siguiendo una metodología muy sencilla. Tras hacer una selección de los virus y archivos infectados recopilados en la red, se guardaron dentro de una carpeta en una de las particiones del disco duro. La misión era analizar los resultados que producía cada uno de los antivirus tras escanear dicha partición, comprobando si verdaderamente se eliminaban los archivos, se mandaban a una carpeta de cuarentena, ... Finalmente se verificaba si concordaban o no las tareas realizadás por el software estudiado con los archivos almacenados en la carpeta que contenía los virus. Puesto que había que estudiar el caso para cada virus, a parte de detectarlo, si lo reparaba, lo ponía en cuarentena o simplemente lo eliminaba, se tuvo que remplazar varias veces la carpeta contenedora de archivos infectados para contrastar los diferentes efectos del antivirus.
Cabe destacar que las comprobaciones se realizaron con un sólo antivirus instalado en la máquina, puesto que instalando más de uno se generaban conflicos entre ellos y consumían demasiados recursos.Tras estudiar cada uno de ellos lo desinstalabamos, reiniciabamos el ordenador e instalabamos en siguiente.
volver al índice
Antivirus Freeware
Estos son los antifivus Freeware (software que se distribuye sin cargo) que utilizamos para detectar y eliminar virus informáticos y otros programas maliciosos, también denominados como malware. A continuación se detalla una pequeña descripción de cada uno junto con un enlace a la página web de la compañía que lo ha desarrollado.
AntiVir Personal Edition 6.30.00.17
- Fecha: 16 de Marzo del 2005
- Tamaño: 5,8 MB
- SO: Win95/98/98SE/NT/ME/2000/XP
- Web: www.free-av.com
- Actualizable: SI
Descripción: AntiVir Personal Edition es un completo antivirus capaz de detectar y eliminar más de 50.000 virus, incluyendo los de macro y sector de arranque, y es además muy fácil de usar. Te ofrece una protección segura y efectiva, vigilando en todo momento tu sistema con un Virus Guard residente que controla los movimientos de archivos, por ejemplo cuando descargas archivos de Internet. Incluye un asistente que actualiza automáticamente las bases de datos de virus para tener siempre tu protección puesta al día. Ofrece falsas alarmas con demasiada frecuencia y presenta una falta de flexibilidad al configurar las comprobaciones así como también en las actualizaciones.
AVG Anti-Virus System Free Edition 7.3008a468
- Fecha: 11 de Marzo del 2005
- Tamaño: 10,3 MB
- SO: Win95/98/98SE/NT/ME/2000/XP
- Web: AVG Anti-Virus
- Actualizable: SI
- Descripción: Antivirus gratuito para estar protegido y evitar infecciones de los numerosos virus que circulan hoy en día por la red. Un detalle positivo y del que no pueden presumir todos los programas antivirus es que AVG permite pausar un escaneo para reanudarlo en otro momento.AVG Anti-Virus System Free Edition incluye:
- AVG Resident Protection: monitorización constante del sistema.
- AVG Email Scanner: escanea tu correo
electrónico.
- AVG On-Demand Scanner: analiza lo que
desees.
- Escaneos preprogramados por fechas u horas.
- Actualización gratuita de la base de datos de
virus.
- Función de actualización automática.
- Desinfección automática de archivos
infectados.
- AVG Virus Vault: sistema para manejar de
forma segura ficheros infectados.
Avast! Home 4.6.603
- Fecha: 02 de Marzo del 2005
- Tamaño: 8,8 MB
- SO: Win95/98/98SE/NT/ME/2000/XP
- Web: Alwil Software
- Actualizable: SI
Descripción: Avast! es antivirus funcional capaz de detectar una larga lista de virus, gusanos, troyanos e incluso virus capaces de modificarse a sí mismos. Gracias a esta aplicación, la posibilidad de infección y el riesgo de perder datos o tener que reinstalar el sistema queda reducida al mínimo. El programa incorpora dos interfaces diferentes, una para usuarios novatos que no quieren complicarse la vida con demasiadas opciones de configuración, y otra orientada a usuarios más expertos. Avast! te protege de virus de macros (un de los tipos más peligrosos hoy en día) y virus residentes. Se integra con el Explorador de Windows, de manera que te permite escanear archivos desde el menú contextual, y renueva las bases de datos de virus cada mes.
Gladiator Scanner 3.5
- Fecha: 24 de Marzo del 2003
- Tamaño: 3,3 MB
- SO: Win95/98/98SE/NT/ME/2000/XP
- Web: Gladiator-Antivirus
- Actualizable: SI
Descripción: Gladiator AntiVirus es una utilidad que se encarga de buscar y eliminar troyanos y virus. Es capaz de detectar e identificar los virus que se encuentren en su base de datos (obvio), virus BAT, HLLx, I-Worms, IRC-Worms, mIRC-Worms, troyanos (Trojan-Notifier, Trojan-Dropper, Trojan-Downloaders), virus VBS, virus macro (Word y Excel), etc. Una de sus características más reseñables es que es capaz de detectar troyanos, puertas traseras y gusanos incluso si cualquiera de éstos se haya comprimido.
volver al índice
Información de los Virus
Estas son las 9 amenazas con las que trabajamos. Para cada uno de ellas incluimos una pequeña ficha técnica. La información ha sido recopilada de tres de las compañías pioneras en la protección contra todo tipo de software maligno:
McAfee,
Panda Software y
Symantec , así como de estas dos Bases de Datos:
F-Secure y
Sophos.
Bagle.BL || Beagle.BA
- Nombre técnico: W32/Bagle.BL.worm ||W32/Beagle.BA@mm
- Tipo: Gusano
- Peligrosidad: Baja
- Fecha de aparición: 27 de Enero de 2005
- SO que pueden ser afectados: Windows XP/2000/NT
Descripción: Bagle.BL es un gusano sólo afecta a ordenadores con Windows XP/2000/NT, y que tiene como fecha límite de activación el 25 de abril de 2006. Después de esta fecha, el gusano finalizará automáticamente su ejecución cuando sea activado. Finaliza procesos pertenecientes a varios programas antivirus y cortafuegos, entre otras herramientas de seguridad. Esto deja al ordenador afectado vulnerable frente al ataque de otro malware. También borra las entradas del Registro de Windows relacionadas con distintas variantes del gusano Netsky. Bagle.BL se propaga a través del correo electrónico, en mensajes de características variables escritos en inglés, y de programas de intercambio de archivos punto a punto (P2P). Es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Parite.A || Pate.A || Pinfi
- Nombre técnico: W32/Parite.A || W32/Pate.A || W32/Pinfi
- Tipo: Virus
- Peligrosidad: Baja
- Fecha descubrimiento: 19 de Junio de 2004
- SO que pueden ser infectados: Windows XP/2000/NT/ME/98/95/3.x
Descripción: Parite.A es un virus, que se introduce en el ordenador a través del correo electrónico, Internet, disquetes, etc, y que se reproduce insertando su código en otros ficheros o programas. Sus acciones pueden resultar molestas o dañinas para el usuario infectado. Presenta las siguientes características:
- Infecta ficheros de tipo PE (Portable Ejecutable). Estos ficheros se caracterizan por poder ser ejecutados en diferentes sistemas operativos de 32 bits (Windows XP/2000/NT/Me/98/95), lo cual permite que sean utilizables indistintamente en todos ellos. El virus se activará cada vez que se ejecute un fichero infectado.
Parite.A presenta las siguientes estrategias de infección:
- Residente: Una vez ha sido ejecutado, el virus permanece situado en la memoria RAM e intercepta funciones propias del sistema operativo. De este modo, cada vez que el sistema operativo o una aplicación traten de acceder a dichas funciones, el virus se activará, infectando nuevos ficheros.
Netsky.B
- Nombre técnico: W32/Netsky.B.worm
- Tipo: Gusano
- Peligrosidad: Media
- Fecha de aparición: 18 de Febrero de 2004
- SO que pueden ser afectados: Windows XP/2000/NT/ME/98/95
Descripción: Netsky.B es un gusano que se propaga a través del correo electrónico, de programas de intercambio de archivos punto a punto (P2P) y de redes de ordenadores. El método que utiliza es reenviarse a través de las direcciones de correo electrónico en busca de víctimas para las cuales busca en sus discos duros las directorios que contengan las palabras "Share" o "Sharing" y se copia dentro de ellos. Cabe destacar que Netsky.B es un gusano que borra las entradas pertenecientes a varios gusanos, entre ellos, Mydoom.A, Mydoom.B y Mimail.T. Cuando Netsky.B es ejecutado crea el fichero SERVICES.EXE en el directorio de Windows(este fichero es una copia del gusano) y muestra la siguiente ventana informando de un error falso:
Errore
- Nombre técnico: Joke.Errore
- Tipo: Joke(Broma)
- Peligrosidad: Baja
- Fecha descubrimiento: 8 de Septiembre de 2003
- SO que pueden ser infectados: Windows XP/2000/NT/ME/98/95
Descripción: Estos programas, inofensivos por otra parte, muestran en pantalla falsos mensajes que advierten de la inminente realización de acciones destructivas en el ordenador, simulan dichas acciones o realizan modificaciones en la configuración de la pantalla, el ratón, etc. Concretamente, Errore simula fallos de ciertos componentes de Windows que han de ser borrados mediante el formateo del disco duro. Si el usuario desea interrumpir los efectos de este joke y volver a trabajar normalmente, debe pulsar la combinación de teclas Ctrl + Alt + Supr y terminar su proceso.
Hybris.Plugin
- Nombre técnico: W32/Hybris.Plugin
- Tipo: Gusano
- Peligrosidad: Baja
- Fecha descubrimiento: 16 de Noviembre de 2000
- SO que pueden ser infectados: Windows XP/2000/NT/ME/98/95
- Descripción: Hybris.Plugin es un gusano que
llega dentro un fichero incluido en un correo con
alusiones pornográficas, cuyo remitente siempre es
Hahaha
<hahaha@sexyfun.net>. El asunto
de este mensaje en castellano es Enanito si, pero con que
pedazo, pero también existen versiones
en inglés, portugués y francés. El peligro de
Hybris.Plugin radica en su alta capacidad de
propagación. Para ello, controla la salida del
correo en los ordenadores infectados. De esta
forma, por cada mensaje que envíe el usuario
infectado, el gusano manda otro al mismo
destinatario, dejando entre ambos envíos un período
de tiempo. Cuando se activa, infecta los ficheros
con extensión EXE. Además, muestra la animación de
una espiral dentro del Escritorio de Windows, cada
24 de noviembre.
Thus.G
- Nombre técnico: W97M/Tus.G
- Tipo: Macro-virus
- Peligrosidad: Baja
- Fecha descubrimiento: 26 de Agosto de 1999
- SO que pueden ser infectados: Windows XP/2000/NT/ME/98/95
Descripción: Thus.G es un virus de macro que suele llegar dentro de un documento Word. Se activa cada 13 de diciembre, con efectos poco dañinos:
- Infecta la plantilla de Word así como todos los documentos que se utilicen o se generen con ella.
- Desactiva las macros ya existentes en los documentos de Word (con lo que intenta pasar desapercibido para el usuario) e inhabilita la seguridad del antivirus en ellas.
Se activa cada día 13 de Diciembre, pero no muestra síntomas que a simple vista permitan confirmar su infección.
KillCMOS
- Nombre técnico: Troj/KillCMOS
- Tipo: Troyano
- Peligrosidad: Baja
- Fecha descubrimiento: 12 de Agosto de 1999
- SO que pueden ser infectados: Windows XP/2000/NT/ME/98/95
Descripción: KillCMOS es un troyano que resetea (borra) el menú de configuración del ordenador sin previo aviso o confirmación. De este modo, la configuración personalizada que pueda tener el ordenador afectado será sustituida por la configuración original, la que viene de fábrica. Esta acción puede no suponer ningún efecto dañino para el ordenador afectado o puede resultar muy perjudicial. Por ejemplo, al borrar la configuración del ordenador, se borrará la contraseña con la que el usuario del ordenador puede haber protegido la configuración de su equipo. De este modo, cualquier usuario (autorizado o no autorizado) podrá acceder al menú de configuración y alterar los valores de la BIOS. No utiliza ningún método especial de propagación y resulta muy sencillo de reconocer, puesto que cuando se ejecuta muestra el siguiente texto en pantalla:
KiLLCMOS v1.0 DeathBoy KoASP[NuKE/GenX]
1996 KoASP Products Unlimited
deathboy@koasp.com
Continuous Beeping typically means Successful CMOS KiLL
You must Reboot Your computer for the effect
Además, al borrar la memoria CMOS, varía algunos datos en el ordenador, relativos por ejemplo a la fecha, la hora, unidades de disco y disquetera instaladas, características de la placa base y de la memoria, entre otros.
Cannabis
- Nombre técnico: Cannabis
- Tipo: Virus
- Peligrosidad: Baja
- Fecha de aparición: 10 de Enero de 1991
- SO que pueden ser afectados: MS-DOS
Descripción: Cannabis es un virus, que se introduce en el ordenador a través del correo electrónico, Internet, disquetes, etc, y que se reproduce insertando su código en otros ficheros o programas. Sus acciones pueden resultar molestas o dañinas para el usuario infectado.
Presenta las siguientes características:
- Infecta el sector de arranque del disco duro del ordenador cuando se intenta iniciar la máquina desde un disquete infectado. A partir de ese momento, se infectarán todos los disquetes que se utilicen, siempre y cuando no estén protegidos contra escritura.
Anthrax
- Nombre técnico: Anthrax
- Tipo: Virus
- Peligrosidad: Baja
- Fecha de aparición: 1 de Julio de 1990
- SO que pueden ser afectados: MS-DOS
Descripción: Anthrax es un virus creado en Bulgaria, que se introduce en el ordenador a través del correo electrónico, Internet, disquetes, etc, y que se reproduce insertando su código en otros ficheros o programas. Sus acciones pueden resultar molestas o dañinas para el usuario infectado. Presenta las siguientes características:
- Infecta el sector de arranque del disco duro del ordenador y a los disquetes. Una vez ha sido ejecutado, el virus permanece situado en la memoria RAM e intercepta funciones propias del sistema operativo. De este modo, cada vez que el sistema operativo o una aplicación traten de acceder a dichas funciones, el virus se activará, infectando nuevos ficheros.
volver al índice
Batería de pruebas
A continuación se muestran las tablas con los resultados de las pruebas realizadas, así como observaciones observaciones e informaciones interesantes obtenidas a lo largo de las pruebas y una nota final para cada antivirus basándose en las opciones, interfaces y otros criterios de cada uno.
AntiVir Personal Edition 6.30.00.17
Virus |
Detectar |
Reparar |
Eliminar |
Cuarentena |
Bagle.BL |
Sí |
No |
Sí |
Sí |
Parite.A |
Sí |
No |
Sí |
Sí |
Netsky.B |
Sí |
No |
Sí |
Sí |
Errore |
Sí |
No |
Sí |
Sí |
Hybris.Plugin |
Sí |
No |
Sí |
Sí |
Thus.G |
Sí |
Sí |
Sí |
Sí |
KillCMOS |
Sí |
No |
Sí |
Sí |
Cannabis |
Sí |
No |
Sí |
Sí |
Anthrax |
Sí |
Sí |
Sí |
Sí |
Observaciones:
Escanea el disco duro durante la instalación
sin dar la opción de elegir si se quiere que se realice
esa tarea, aunque sí se puede detener en cualquier
momento. Cada vez que se entra en un directorio en el que
hay un virus o se selecciona un ejecutable infectado, se
abre una pantalla del antivirus con las siguientes
opciones:
- Repair file
- Move file to quarantine directory
- Delete file
- Wipe file
- Rename file
- Deny access
- Allow access
Cuando los virus están contenidos en archivos comprimidos
sólo son detectados en caso de que se intente extraer el
archivo infectado volviendo a aparecer la misma ventana
con el menú anterior.
Para poder reparar los
archivos hay que activar la opción de Repair
file en las opciones del programa. Análogamente los
archivos que son Software Posiblemente Malicioso (PSM),
los Joker y Games sólo son detectados en caso de activar
las respectivas opciones.
Nota final: 8
AVG Anti-Virus System Free Edition 7.3008a468
Virus |
Detectar |
Reparar |
Eliminar |
Cuarentena |
Bagle.BL |
Sí |
No |
No |
- |
Parite.A |
Sí |
No |
No |
- |
Netsky.B |
Sí |
No |
Sí |
- |
Errore |
No |
- |
- |
- |
Hybris.Plugin |
No |
- |
- |
- |
Thus.G |
Sí |
No |
No |
- |
KillCMOS |
Sí |
No |
No |
- |
Cannabis |
Sí |
Sí |
Sí |
- |
Anthrax |
Sí |
No |
No |
- |
Observaciones:
Da la posibilidad de crear un Rescue Disk durante la instalación y también se pueden escanear los correos electrónicos. Con este antivirus no se pueden poner los archivos en cuarentena. Se ha comprobado que no reconoce los Jokes.
Nota final: 4
Avast! Home 4.6.603
Virus |
Detectar |
Reparar |
Eliminar |
Cuarentena |
Bagle.BL |
Sí |
No |
Sí |
Sí |
Parite.A |
Sí |
No |
Sí |
Sí |
Netsky.B |
Sí |
No |
Sí |
Sí |
Errore |
No |
- |
- |
- |
Hybris.Plugin |
No |
- |
- |
- |
Thus.G |
Sí |
Sí |
Sí |
Sí |
KillCMOS |
No |
- |
- |
- |
Cannabis |
Sí |
No |
Sí |
Sí |
Anthrax |
Sí |
No |
Sí |
Sí |
Observaciones:
Durante la instalación se
ofrece la posibilidad de elegir el idioma de entre una
lista en la que están todos los idiomas europeos más el
japonés y el coreano. Pregunta si se quiere escanear el
disco duro tras la instalación. Se puede activar las
opciones de escaneo en los siguientes sistemas:
- WinPopup
- MAPI
- STMP
- Impresoras
- ICQ
- Windows Messenger.
Tras 60 días de uso has de registrar el
programa de forma gratuita.
Nota final: 5,5
Gladiator Scanner 3.5
Virus |
Detectar |
Reparar |
Eliminar |
Cuarentena |
Bagle.BL |
No |
- |
- |
- |
Parite.A |
No |
- |
- |
- |
Netsky.B |
No |
- |
- |
- |
Errore |
No |
- |
- |
- |
Hybris.Plugin |
Sí |
No |
No |
No |
Thus.G |
No |
- |
- |
- |
KillCMOS |
Sí |
No |
No |
No |
Cannabis |
Sí |
No |
Sí |
Sí |
Anthrax |
Sí |
No |
No |
No |
Observaciones:
Sin apenas opciones y no detecta casi ningún virus.
Nota final: 1
volver al índice
Incidencias
En nuestro afán por descubrir cómo actúa realmente un virus y cuales son sus efectos, decidimos, el primer día, ejecutar alguno de los archivos infectados. Los primeros en aplicar fueron los típicos Jokes que hacían mover repetidamente las imágenes de la pantalla y efectos similares. Craso error el nuestro cuando "hicimos doble clic" sobre el icono de KillCMOS. Aparentemente no había sucedido nada, pero al reiniciar nos dimos cuenta de que todos los valores de la BIOS habían sido reseteados (fechas, contraseñas y hardware). En este momento fue cuando pensamos que, ateniéndonos al nombre del Virus, habíamos estropeado la CMOS. Tras consultar la información del virus detenidamente, llegamos a la conclusión de que no había sido tan grave como temíamos; hecho que no nos libró de tener que formatear el ordenador para asegurarnos de que todo volvería a funcionar correctamente.
volver al índice
Conclusiones
Los resultados obtenidos con los antivirus freeware no han sido tan satisfactorios como cabía esperar. Excepto el AntiVir Personal Edition, cuyas características se pueden comparar a los "de pago", el resto no cumplen las condiciones mínimas para asegurar nuestro ordenador contra el ataque de virus, gusanos, jokes, ...
Por tanto puede ser recomendable invertir en la seguridad de nuestro ordenador comprando un antivirus con licencia, o bien pulular entre las diferentes versiones Shareware de 30 días que estas compañias ofrecen.
volver al índice