Son tan buenos los Antivirus como dicen? Pagar una licencia anual de 40€?

Hoy, mostraré como funcionan los antivirus en la realidad = "no sirven para mucho"

Los antivirus funcionan con firmas, que significa esto, cuantas más firmas tenga nuestro antivirus en su base de datos mas virus detectará.

¿Qué es una firma?
Es una cadena alfanumérica (conjunto de letras y/o números consecutivos) que está asociada a un determinado virus, y sólo a él. Por lo tanto es quien identifica al virus, como si de un código o número de pasaporte se tratase. Los antivirus la emplean para detectar a cada uno de los virus.

Después de leer esa definición "culta" jajaj, me planteo 2 preguntas:

¿Qué ocurre si podemos sacar la firma a un virus?

¿Si el virus es nuevo, tiene nuestro antivirus esa firma?

Ambas preguntas tienen la misma repuesta, nuestro pc se infectaría del virus o confiar en la heurística de nuestro antivirus que debe ser bastante buena...aunque actualmente los antivirus en general no tienen buena heurística.

¿Qué es la heurística?
En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.

Dejamos la cultura y las charlas para hacer la práctica.

En la web de la Eicar pueden encontrar un código para hacer pruebas sobre la funcionalidad de su antivirus y la rapidez de reacción, es un test que nos ofrecen para realizar. Una vez copiado el código lo pegamos en nuestro bloc de notas, en mi caso usaré el notepad...es muy bueno para programar y demás.

 

Ahora guardamos el código con extensión .bat o .com, como se muestra en la imagen.

 

Al guardar el código, a los pocos segundos debe de bloquearlo nuestro antivirus, mi avast no tardó más de 2 segundos. Si vuestro antivirus tarda más de 10 segundos es que tienen un problema grave en su pc ajaj

Ohhh, maravilloso el funcionamiento de avast!! Muchos de ustedes se quedarían muy contento con esto, pero como simpre voy mas lejos, es decir, en busca de la realidad....

Ahora editaremos el código de la Eicar para extraerles las firmas y comprobar lo bien que funciona nuestro antivirus en la realidad. Para realizar esta operación usaré un crypter, no poseo de tiempo para hacer el proceso de extracción de forma manual. En otra ocasión, lo explicaré desde cero para que lo pueden realizar ustedes también.

Paso el código por el crypter y lo guardo en mi escritorio. Espero un rato y avast no reacciona....lo analizo e igual....¿Qué ocurre? Pues que al extraer la firma avast ni otros antivirus lo reconoce, es decir, lo tenemos indetectable. Muchos crackers usan esta técnica para infectar sistemas sin ser reconocidos por los antivirus.

 Para obtener mas resultados, escaneo el test sin la firma por virustotal, que es una aplicación online que escanea cualquier archivo que subes con 43 antivirus diferentes(todos los que están ahora en el mercado).

 

Dejo el enlace por si desean verlo.

Con todo esto, no cofien más en sus antivirus...en lo personal los antivirus solo comen recursos. Mejor usar cajas virtuales como sandboxie.

Pregunta abierta: ¿Interesa comprar una licencia de antivirus?

Jchierro