Video: Como Detectar Si Tienes Un Buen ANTIVIRUS - El Test de la Muerte (Noviembre 2024)
La puntualidad es una de las razones. Hago mi mejor esfuerzo para revisar cada nuevo producto de seguridad tan pronto como sea lanzado. Los laboratorios realizan sus pruebas en un horario que rara vez coincide con mis necesidades. La exhaustividad es otra. No todas las empresas de seguridad participan en todos los laboratorios; algunos no participan en absoluto. Para aquellos que no participan, mis propios resultados son todo lo que tengo que seguir. Finalmente, las pruebas prácticas me dan una idea de cómo el producto y la compañía manejan situaciones difíciles, como el malware que impide la instalación del software de protección.
Para obtener una comparación razonable, necesito ejecutar cada producto antivirus contra el mismo conjunto de muestras. Sí, eso significa que nunca estoy probando con malware de día cero, nunca antes visto. Confío en los laboratorios, con sus mayores recursos, para realizar ese tipo de pruebas. Crear un nuevo conjunto de sistemas de prueba infestados lleva mucho tiempo, por lo que solo puedo permitirme hacerlo una vez al año. Dado que mis muestras no son remotamente nuevas, pensaría que todos los productos de seguridad las manejarían bien, pero eso no es lo que observo.
Recolectando Muestras
Los grandes laboratorios independientes mantienen una vigilancia en Internet, capturando constantemente nuevas muestras de malware. Por supuesto, tienen que evaluar a cientos de sospechosos para identificar a los que son verdaderamente maliciosos y determinar qué tipo de comportamiento malicioso exhiben.
Para mis propias pruebas, confío en la ayuda de expertos de muchas compañías de seguridad diferentes. Le pido a cada grupo que proporcione URL del mundo real para diez o más amenazas "interesantes". Por supuesto, no todas las empresas quieren participar, pero obtengo una muestra representativa. Tomar los archivos de su ubicación en el mundo real tiene dos beneficios. Primero, no tengo que lidiar con el correo electrónico o la seguridad del intercambio de archivos que borran las muestras en tránsito. En segundo lugar, elimina la posibilidad de que una compañía pueda jugar con el sistema al proporcionar una amenaza única que solo su producto puede detectar.
Los escritores de malware se mueven constantemente y transforman sus armas de software, por lo que descargo muestras sugeridas inmediatamente después de recibir las URL. Aun así, algunos de ellos ya han desaparecido cuando trato de agarrarlos.
¡Libera el virus!
El siguiente paso, arduo, consiste en lanzar cada muestra sugerida en una máquina virtual, bajo el escrutinio del software de monitoreo. Sin dar demasiados detalles, utilizo una herramienta que registra todos los cambios de archivos y registros, otra que detecta los cambios utilizando las instantáneas del sistema antes y después, y la tercera que informa sobre todos los procesos en ejecución. También ejecuto un par de escáneres de rootkits después de cada instalación, ya que en teoría un rootkit podría evadir la detección por parte de otros monitores.
Los resultados son frecuentemente decepcionantes. Algunas muestras detectan cuándo se ejecutan en una máquina virtual y se niegan a instalar. Otros quieren un sistema operativo específico, o un código de país específico, antes de tomar medidas. Aún otros pueden estar esperando instrucciones de un centro de comando y control. Y unos pocos dañan el sistema de prueba hasta el punto de que ya no funciona.
De mi conjunto de sugerencias más reciente, el 10 por ciento ya se habían ido cuando intenté descargarlas, y aproximadamente la mitad del resto eran inaceptables por una razón u otra. De los que quedaban, elegí tres docenas, buscando obtener una variedad de tipos de malware sugeridos por una combinación de diferentes compañías.
¿Está ahí?
Seleccionar muestras de malware es solo la mitad del trabajo. También tengo que pasar por resmas y resmas de archivos de registro generados durante el proceso de monitoreo. Las herramientas de monitoreo registran todo, incluidos los cambios no relacionados con la muestra de malware. Escribí un par de programas de filtrado y análisis para ayudarme a conocer los archivos específicos y los rastros del Registro agregados por el instalador de malware.
Después de instalar tres muestras cada una en doce máquinas virtuales idénticas, ejecuto otro pequeño programa que lee mis registros finales y comprueba que los programas, archivos y rastreos de registro asociados con las muestras están realmente presentes. Muy a menudo, tengo que ajustar mis registros porque un troyano polimórfico instalado usando nombres de archivo diferentes de los que usé cuando ejecuté mi análisis. De hecho, más de un tercio de mi colección actual necesitaba ajustes por polimorfismo.
¿Se ha ido?
Con toda esta preparación completa, analizar el éxito de la limpieza de un producto antivirus en particular es una cuestión simple. Instalo el producto en los doce sistemas, ejecuto un análisis completo y ejecuto mi herramienta de verificación para determinar qué rastros (si los hay) quedan atrás. Un producto que elimina todos los rastros ejecutables y al menos el 80 por ciento de la basura no ejecutable obtiene diez puntos. Si elimina al menos el 20 por ciento de la basura, eso vale nueve puntos; menos del 20 por ciento obtiene ocho puntos. Si quedan archivos ejecutables, el producto obtiene cinco puntos; eso se reduce a tres puntos si alguno de los archivos aún se está ejecutando. Y, por supuesto, una falta total no obtiene puntos en absoluto.
Promediar los puntos para cada una de las tres docenas de muestras me da una visión bastante buena de qué tan bien maneja el producto la limpieza de los sistemas de prueba infestados de malware. Además, obtengo experiencia práctica del proceso. Supongamos que dos productos obtienen puntajes idénticos, pero uno instalado y escaneado sin problemas y el otro requiere horas de trabajo por parte del soporte técnico; El primero es claramente mejor.
Ahora ya sabe lo que incluye la tabla de eliminación de malware que incluyo en cada revisión de antivirus. Es una tonelada de trabajo una vez al año, pero ese trabajo vale la pena.
