MATY:
Seguridad y Privacidad
|
|
|
|
28-Enero-2002 BORRADOR !!! ( muy verde todavía )
son apuntes, fijación de ideas, cosas
pendientes y mal redactadas -ninguno es experto en virus-
Del correo recibido de CEREUS, he seleccionado y editado:
"Un artículo de comparativa de Antivirus
debe de estar hecho a conciencia, probar los distintos grupos de virus y
sobre todo que estén actualizados. Yo lo único que he hecho ha sido
bajarme una serie
de virus y analizarlos con los antivirus, ni siquiera me he preocupado
de ver que virus detecta uno y otro, y el porque no detecta si es que es
por estar comprimidos, empaquetados o etc.. aparte de poder haberme
equivocado con la configuración de los mismos (
mejor eso que nada ) (Sería interesante saber cuántos virus hay de verdad en el CD-ROM analizado)
AVP SCANNER
Escaneo finalizado.
NOD32:
number of diagnosed files:
1894 DEBERIAMOS PONERNOS EN CONTACTO CON HISPASEC ( para que en su nueva comparativa incluyan al BitDefender, Nod32 y AVP 3.5.5.4 y AVP 4 ). Repasar la comparativa del 2001 para ver qué se nos escapa. También con VSAntivirus. Y ya puestos, contactar con algunos de los miembros más destacados de la escena vírica hispana. ( tal vez una entrevista -a fondo, necesario documentarse antes-, como las que corren en ciertos e-zines hackers ). Interpretar estos datos es difícil para profanos ( nos incluimos ).
El NOD32 es sorprendentemente rápido!!!. El programa instalador ocupa unos 2,5MB, más de 4 veces menor que el del AVP. Necesitamos de expertos en el tema que nos expliquen los logs de los dos cortafuegos. Hemos de repasar conocimientos antiguos. La mayoría de los antivirus basan su acción en una lista de virus a contrastar. Algunos tienen problemas con los ficheros comprimidos, pero creo que se ha ido solucionando esto último. VERIFICAR. El AVP es famoso por su motor heurístico ( al menos las versiones antiguas, las anteriores al nuevo y NO CONTRASTADO AVP 4 ). En un escaneo específico parece que el AVP es claramente el ganador. Y no tiene fama de falsas alarmas ( alguna tendrá, sobre todo a la hora de detectar posibles troyanos -algunas aplicaciones son calificadas como troyanos en unas empresas y en otras no, válido también para soft antitroyanos ). Tenemos entendido que la base de virus del AVP es menor que el de otras empresas, que a muchas variantes las identifican como virus nuevos ( posible estrategia comercial ). SE HA DE VERIFICAR. Donde el AVP destaca es en la heurística, al revisar el código, avisándonos de cuerpos víricos sospechosos. Tal proceso implica un escaneo más profundo y más ELABORADO y por tanto más lento. La velocidad importante es la de los módulos residentes. En una máquina de mediana potencia, las versiones anteriores del AVP no ralentizan ( cierto es que otros ni se notan, tampoco es que se esmeren ). El AVP 4 RALENTIZA incluso en máquinas potentes, y aunque no arranque con el sistema, sigue habiendo un módulo residente que no hemos podido desactivar que lo ralentiza todo en exceso ( posteado en MERISTATION / SOFTWARE, poner el enlace ). Ese módulo residente no aparece en W98 una vez que se ha deshabilitado!. No así en W2000 ( mirarlo otra vez, para ver si se puede ). Así que para los usuarios del XP, la mejor versión es la AVP GOLD ( -suponemos que la PLATINUM también, al ser de la misma hornada y versión de motor- ). El AVP PERSONAL PRO 3.5.5.4 ( la que uso en W2000 ) parece que da problemas en el XP. El NOD32 es rapidísimo, eso es innegable. La publicidad de su página, llena de galardones recibidos nos hace dudar. Hemos de comprobar la validez / prestigio de esos premios. Lo hemos conocido gracias a una entrevista al creador del FIREHOLE ( que traspasa todos los cortafuegos software ), donde especificaba que era su antivirus ( y el TINY el cortafuegos ). Otro dato en su contra, es que escanea menos ficheros que el AVP ( 9, que supongo serán los del mbr y demás ficheros claves de las distintas particiones del disco duro y los claves del AVP, que siempre es aconsejable mirar ). No recuerdo que nadie haya reportado que el propio AVP se haya infectado -a veces da mensajes de error por no haberse actualizado bien, que si ha sido hackeado y demás; tal vez las llaves empleadas para su registro-. También es sorprendente el mal resultado del finlandés F-SECURE que utiliza tres motores, dos de ellos contrastados: AVP y F-PROT ( en su día muy prestigiado, sobre todo para el escaneo desde un ms-dos desde diskette ). Además siempre se le ha achacado problemas para las actualizaciones diarias, algo FUNDAMENTAL hoy en día. Está claro que es mejor utilizar directamente las versiones originales, sin modificar. Entre los dos, AVP sigue siendo la lección. Sorprende que no hayan mejorado con el transcurrir del tiempo. El NORTON 2002 no aporta nada nuevo, salvo tal vez su funcionamiento correcto en el windows XP. Pero nada más ( que sepamos ). Años atrás ( 1-2 años ) no destacaba precisamente por su fortaleza, infectándose él mismo al instalarlo en sistemas infectados ( con Virus Scan-McAffe instalado -de uso muy extendido- ). El Panda Platinum sí que desinfectó, pero se dejó unos cuantos. El AVP ( motor 129 ) limpió TOTALMENTE el sistema. Pero ya ha llovido mucho. Virus Scan de McAffee ha detectado más que el NORTON, algo que no esperaba. PANDA no ha sido analizado ( debería hacerse ). En su día, el webmaster decidió prescindir de cualquier producto de esta empresa vasca harto de los problemas que originaban sus productos y su excesivo consumo de recursos. Tal vez se hayan puesto las pilas con el Titanium ( lo que nadie duda es su excelente soporte 24 horas -no preguntan si eres usuario, al menos antes-, aunque a menudo su excesiva rapidez ha proporcionado vacunas no efectivas, tardando más tiempo en proporcionar la definitiva ). Al AVP se le puede echar en cara el idioma y la mejorable respuesta que la empresa española CODINE ante usuarios infectados de sus versiones en español. Lo mejor siempre ha sido y será ir a la casa matriz rusa ( web en inglés ), donde EUGENE KASPERSKY sigue al frente al departamento técnico ( al menos hace unos meses, VERIFICAR ). El idioma NO ha de ser el factor decisivo para la elección del antivirus. Aún recuerdo el estudio publicado por PC WORLD España de Septiembre 2001 ( aprox. ) que daba ganador a PANDA!!! ( habían dado un peso excesivo al idioma y a su servicio 24 horas ), cuando claramente el mejor entonces era el AVP ( post de protesta en MERISTATION / SOFTWARE J'Accuse -poner el enlace-. ) Y el análisis de primeros de año del 2001 de HISPASEC ( publicado en PC ACTUAL ) utilizaron la versión antigua AVP 129 cuando ya corrían las versiones más modernas. Y si se configuraba bien no tenía tantos problemas para desinfectar el OUTLOOK -por lo menos nunca los tuve yo- ( si es que hay que leer la ayuda de los programas ). La desinfección del OUTLOOK siempre ha sido problemática para los antivirus. ¿No es mejor cambiar de gestor de correo, más seguro, con posibilidad de ver los correos en el servidor, ... como THE BAT, EUDORA, PEGASUS, CALYPSO? REVISAR LA COMPARATIVA. NO HABLAR DE MEMORIA. También falta el PC-Cilin, pero no nos perdemos nada. Es deficiente. Este artículo es una foto fija ( Enero-Febrero 2002 ). Está en fase borrador. Pretendemos que sea orientativo. Ninguno de los dos responsables -hasta ahora- de él son expertos en el tema. Sólo usuarios con experiencia. El uso del AVP ha ido progresivamente extendiendo, a pesar de no estar una gran multinacional detrás. En la América no anglosajona es bastante desconocido en general, tan dominada por el soft norteamericano. Con el auge de Internet, su conocimiento y uso se ha extendido, dejando de ser de uso exclusivo de minorías ( hackers y demás fauna ). Tal primacía está puesta en peligro por la nueva versión AVP 4, que como todo software NUEVO -y más si es de seguridad- debe demostrar su eficacia ( utiliza un nuevo motor, diferente al prestigioso de las versiones anteriores, con una antigüedad de 5 años, y aún así bate a los demás ). Por tanto debe estar en cuarentena, no tengamos prisa en presumir de versión. Tiempo al tiempo ( como en el caso del Windows XP, siendo preferible el W2000 SP 2 para entornos no caseros, sobre todo si se tiene conexión a internet -hablando de entornos windows y pequeña y mediana empresa, que para cosas más serias tenemos sistemas operativos más eficientes, potentes y seguros -SI SE CONFIGURAN BIEN- ). Parrafada a retocar.
A continuación reproducimos los logs del AVP y NOD32 correspondientes a la carpeta Z del CD-ROM analizado. Quienes quieran descargárselos: Se agradecería la participación de usuarios con más conocimientos técnicos que analizasen detalladamente esos logs ( curiosamente ocupan el mismo tamaño 173 Kb en modo texto, siendo más fáciles de leer los del AVP ).
AVP:
H:\Virus\VIRUS\virus\virus3\virus2\Virus1\Virus0\z\File_id.diz ok.
¿Acaso es el mismo virus ZHENGXI contado varias veces? NECESITAMOS EXPERTOS que nos aclaren las dudas. ¿Tan bueno es el AVP? Analizado el empaquetado detecta fichero infectado. En el segundo empaquetado NADA.
NOD 32:
H:\Virus\VIRUS\virus\virus3\virus2\Virus1\Virus0\z\ »
Parece que en la carpeta Z ( elegida simplemente por ser la última ) el NOD32 ha detectado uno menos. En un primer análisis ( parcial, hay que revisar los logs ) parece que el AVP sí detecta más que el NOD32. El fichero COMPRIMIDO es revisado por los dos. La sorprendente velocidad del NOD32 debe radicar en una descompresión "parcial" o algo parecido. Deberemos elegir entre velocidad o efectividad. Insistiendo que el AVP antiguo NO RALENTIZA, y menos en un equipo medianamente moderno. Esta web está mantenida desde un K6-2 a 300Mhz con 256MB, W2000 SP 2 -gestión de memoria desde el cacheman 5- y un disco extraíble a 5400 ( copias de seguridad ) y otro a 7200 rpm ( Seagate Barracuda IV 40GB con disipador - y doble ventilador- por si acaso, FRIO Y SILENCIOSO ). Ya que estoy, parece que tiene problemas el HD en modo RAID. Una pena, que ahora tanto me da, otra cosa será cuando actualice el equipo próximamente, siendo interesante que el RAID utilice discos IDENTICOS. Como puede deducirse, los juegos no son lo mío, y el XP CORPORATE ( no necesita registro en internet, es el de los ensambladores ) deberá esperar. En mi equipo sí que se nota un poquito porque el W2000 pesa un poquito, en W98 con el 98liteIV mucho menos. De ahí que no está residente, por innecesario. Cualquier soft nuevo es escaneado previamente, y activo el módulo AVP MONITOR al conectarme a internet, siendo revisados automáticamente TODOS LOS FICHEROS Y CORREOS DESCARGADOS.
CONTINUARA...
|
©2001 Maty & Asociados. Reservados todos los derechos.