Antivirus
Existen leyes que prohíben publicar los fallos de los programas, un ejemplo
es el caso Guillermito. Actualmente trabaja en Boston como investigador,
francés de origen español. Una empresa de antivirus publicó en Internet que
su programa era infalible para los virus actuales y futuros, Guillermito
publicó una serie de fallos en el programa para demostrar que no era tal como
se podía leer en su publicidad. A raíz de esto la empresa lo denunció y
actualmente a perdido la apelación y ha sido condenado a pagar un multa de
15.000 euros. Actualmente está recaudando la mult, perdón, esta solicitando
donaciones para comprarse un nuevo antivirus (en Francia está prohibido
solicitar dinero para pagar una multa )
Para más información :
20/05/2004 Juicio contra la seguridad informática
http://www.hispasec.com/unaaldia/2034
02/03/2006- "Guillermito" pierde la
apelación en el juicio con Tegam
http://www.hispasec.com/unaaldia/2686
Página de Guillermito :
http://www.guillermito2.net/index-tmp.html
En España existe una ley similar, en vigor desde 1-10-2004, aunque parezca que
realmente protege contra la piratería del software y hardware, enseñar como se
hace, o cobrar por ello, también sitúan fuera de la ley todas las páginas que
informen sobre vulnerabilidades, mediante información técnica o enlaces a
dichas páginas; y a cualquiera que comparta su conexión a Internet con un vecino, mediante
una red de cable o wireless.
Para más información :
Código penal :
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t13.html#a286
Mas información legal :
http://www.bufetalmeida.com/
Vamos a ponernos a trabajar después del tostón anterior, la intención es comprobar la eficacia de algunos antivirus, tan solo para que tengáis más conocimientos, en ningún caso para que los proveéis en otro equipo que no sea el vuestro.
Los antivirus utilizan varias formas de detectar los virus, el método de las firmas es el mas común. Consiste en detectar varios grupo de bytes dentro del fichero que lo hacen único y por los que se puede detectar y localizar el virus. Primero tiene que pasar el virus por los laboratorios para que pueda ser detectado por cada uno de los antivirus. Si queréis mas información sobre los tiempos de reacción sobre un virus en concreto visitar :
http://www.hispasec.com/unaaldia/2221
http://www.hispasec.com/unaaldia/2223
Prueba si tu antivirus funciona :
http://www.vsantivirus.com/eicar-test.htm
http://www2.hispasec.com/tests/eicar/
Vamos a usar el servicio de archivos sospechosos de VirusTotal , mandaremos dos exploits, aun no siendo virus sus códigos si los usan, y son detectados como tales; una herramienta para encontrar huecos en ejecutables, y finalmente un virus que me llegó por correo, menos mal de mi antivirus.
Los pasaremos por dos compresores-decodificadores PE . PE es el formato de todos los ficheros ejecutables de todas las plataformas WIN32, para explicarlo sencillo; se encuentra dividido en secciones y en la parte inicial se recopilan toda una serie de información sobre el archivo; si comprimimos o codificamos esas secciones mediante un programa compresor-decodificador PE obtendremos un archivo que en el caso del compresor tiene un tamaño menor y en el decodificador se hace mas difícil de interpretar; siendo todo el proceso transparente al usuario. Usaremos el UPX , mas dirigido a la compresión y el PE-SHIELD más dirigido al anticraqueo; en definitiva modifica el fichero y con el sistema de firmas no se reconoce, a no ser que los antivirus sea capaces de descodificar y descomprimir el fichero; ya veréis que si que lo consiguen pero no todos, Hemos usado dos pero existen muchos más. Para finalizar utilizaremos un método que leí en una revista, consiste en ocultarlos en un paquete de instalación NSIS. Es un software que permite la creación de programas de instalación para windows, y es gratuito, podéis descargarlo en : http://nsis.sourceforge.net/Main_Page . También existen otros métodos como el publicado en una revista; por cierto, una lástima que ya no se edite; llamado por su autor Rit, también podéis visitar http://foro.elhacker.net/index.php/topic,38580.0.htm para más información, o usar la herramienta Kme-32 . Nosotros no las vamos a usar. Recordar que todo lo descrito aquí es solo para que tengáis más información, no para usarlo malintencionadamente; la seguridad 100% no existe. En la siguiente tabla podéis ver los resultados, se marcan con una X las detecciones.
|
|
UPX |
PE-SHIELD |
NSIS |
|||||||||||||
Antivirus |
Exp1 |
Exp2 |
Herra |
Virus |
Exp1 |
Exp2 |
Herra |
Virus |
Exp1 |
Exp2 |
Herra |
Virus |
Exp1 |
Exp2 |
Herra |
Virus |
AntiVir |
X | X | X | X | X | X | X | X | ||||||||
Avast |
X | X | X | X | X | X | X | X | X | X | ||||||
AVG |
X | X | ||||||||||||||
Avira |
X | X | X | X | X | X | ||||||||||
BitDefender |
X | X | X | X | X | X | X | X | X | X | X | |||||
CAT-QuickHeal |
X | X | X | X | ||||||||||||
ClamAV |
X | X | X | X | X | |||||||||||
DrWeb |
X | X | X | X | X | X | X | X | X | X | X | X | ||||
eTrust-InoculateIT |
X | X | X | X | X | X | X | |||||||||
eTrust-Vet |
X | X | X | X | ||||||||||||
Ewido |
X | X | X | X | X | X | X | X | ||||||||
Fortinet |
X | X | X | X | X | X | X | X | X | X | X | X | ||||
F-Prot |
X | X | X | X | X | |||||||||||
Ikarus |
X | X | X | X | X | X | ||||||||||
Kaspersky |
X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
McAfee |
X | X | X | X | X | X | X | X | X | X | X | X | ||||
NOD32v2 |
X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
Norman |
X | X | ||||||||||||||
Panda |
X | X | X | X | X | X | X | X | X | |||||||
Sophos |
X | X | X | X | X | X | X | X | X | X | X | |||||
Symantec |
X | X | X | X | X | |||||||||||
TheHacker |
X | X | X | X | X | X | X | |||||||||
UNA |
X | X | X | X | X | X | X | |||||||||
VBA32 |
X | X | X | X | X | X | X | X | ||||||||
