martes, 27 de noviembre de 2007
Posted in
ANTIVIRUS
,|
ARGENTINA
,|
ESET
,|
MENSAJERO
,|
SEGURIDAD
,|
VIRUS
|
Antivirus: ¿se encuentra activo? - 27/11/2007
Mucho del malware actual posee como parte de su módulo de defensa la capacidad de terminar aquellos procesos que considere que atentan contra su protección, es decir, aquellos procesos que pueden llegar a detectar al código malicioso en memoria.
De esta manera, al finalizar los procesos, generalmente de herramientas de seguridad, el malware intenta asegurar que sus actividades pasen de forma totalmente desapercibidas, sin que el usuario se percate que su computadora ha sido comprometida.
Bajo esta circunstancia, los usuarios se podrían preguntar, en caso de que esto suceda ¿cómo se puede saber si el programa antivirus se encuentra activo y de la manera para la cual fue concebido?
Intentando dar una respuesta aceptable a esta inquietud, se podría decir que en principio y al igual que cualquier solución de seguridad, ningún software antivirus es 100% seguro, por lo que siempre existe un margen por el cual se puede llegar a filtrar algún tipo de código malicioso y ello no significa para nada que el antivirus no sea eficaz, simplemente significa que otras condiciones deben ser evaluadas.
De igual manera, los usuarios, somos parte fundamental no sólo del buen desempeño de los programas de seguridad que se tengan instalados (obviamente incluido el antivirus) sino que también somos responsables en lo que se refiere a los hábitos de navegación que se adopten.
Es importante contar con las herramientas necesarias para conocer si el antivirus se encuentra activo ya que, por un lado, de nada sirve poseer instalado un programa antivirus si no se encuentra debidamente actualizado; y por el otro, el usuario termina convirtiéndose en “fanático” del doble clic, aunque sea por una cuestión de costumbre, aún conociendo el peligro que representa en relación a una potencial infección.
Para ello, existe una organización llamada EICAR (European Institute for Computer Antivirus Research; en castellano: Instituto Europeo para la Investigación de los Antivirus Informáticos) [1] que aglomera a entidades comerciales, universidades, gubernamentales, civil, etc. y que brinda la posibilidad de poder realizar un testeo sencillo del antivirus.
En el año 1996, esta organización desarrolló lo que en la actualidad se conoce bajo el nombre de EICAR TEST FILE o, según su traducción al español, ARCHIVO DE PRUEBA EICAR. Este pequeño archivo sólo posee los 64 caracteres que se ven en la imagen y el mismo no es dañino.
Su objetivo consiste en que, para probar que el antivirus se encuentra en estado activo, el archivo EICAR debe ser detectado al momento de ser descargado o al momento de realizar una exploración, como es el caso de ESET Smart Security en esta imagen:
Evidentemente, la mayoría de los fabricantes de software antivirus, lo detectan [1] y por ende es una buena prueba de que el antivirus se encuentra funcionando y su proceso no ha sido eliminado del sistema como consecuencia del accionar de algún malware u otro desperfecto. Igualmente, pueden existir códigos maliciosos que simulan ser este archivo de testeo, por lo que es altamente recomendable siempre descargar el mismo de la página oficial de EICAR.
Se puede realizar esta prueba y comprobar si el antivirus se encuentra activo (sin realizar estas acciones en equipos de producción) descargando los archivos desde los siguientes enlaces, recordando tener activado el antivirus para que el archivo de prueba sea detectado. Recordar que este archivo no es dañino, y solo tiene el objetivo de probar la actividad del antivirus:
* http://www.eicar.org/download/eicar.com: Permite examinar si el antivirus detecta la descarga.
* http://www.eicar.org/download/eicar.com.txt: Permite visualizar el código fuente del archivo EICAR TEST FILE.
* http://www.eicar.org/download/eicar_com.zip: Para detectar archivos maliciosos que se encuentren comprimidos.
Es importante aclarar, que el hecho de que un antivirus detecte este archivo de prueba, no significa que ese antivirus sea capaz de detectar y bloquear todo tipo de malware conocido o desconocido.
Más información:
[1] Detección de EICAR Virus Total
[2] EICAR
[3] Blog Laboratorio ESET Latinoamérica
Mucho del malware actual posee como parte de su módulo de defensa la capacidad de terminar aquellos procesos que considere que atentan contra su protección, es decir, aquellos procesos que pueden llegar a detectar al código malicioso en memoria.
De esta manera, al finalizar los procesos, generalmente de herramientas de seguridad, el malware intenta asegurar que sus actividades pasen de forma totalmente desapercibidas, sin que el usuario se percate que su computadora ha sido comprometida.
Bajo esta circunstancia, los usuarios se podrían preguntar, en caso de que esto suceda ¿cómo se puede saber si el programa antivirus se encuentra activo y de la manera para la cual fue concebido?
Intentando dar una respuesta aceptable a esta inquietud, se podría decir que en principio y al igual que cualquier solución de seguridad, ningún software antivirus es 100% seguro, por lo que siempre existe un margen por el cual se puede llegar a filtrar algún tipo de código malicioso y ello no significa para nada que el antivirus no sea eficaz, simplemente significa que otras condiciones deben ser evaluadas.
De igual manera, los usuarios, somos parte fundamental no sólo del buen desempeño de los programas de seguridad que se tengan instalados (obviamente incluido el antivirus) sino que también somos responsables en lo que se refiere a los hábitos de navegación que se adopten.
Es importante contar con las herramientas necesarias para conocer si el antivirus se encuentra activo ya que, por un lado, de nada sirve poseer instalado un programa antivirus si no se encuentra debidamente actualizado; y por el otro, el usuario termina convirtiéndose en “fanático” del doble clic, aunque sea por una cuestión de costumbre, aún conociendo el peligro que representa en relación a una potencial infección.
Para ello, existe una organización llamada EICAR (European Institute for Computer Antivirus Research; en castellano: Instituto Europeo para la Investigación de los Antivirus Informáticos) [1] que aglomera a entidades comerciales, universidades, gubernamentales, civil, etc. y que brinda la posibilidad de poder realizar un testeo sencillo del antivirus.
En el año 1996, esta organización desarrolló lo que en la actualidad se conoce bajo el nombre de EICAR TEST FILE o, según su traducción al español, ARCHIVO DE PRUEBA EICAR. Este pequeño archivo sólo posee los 64 caracteres que se ven en la imagen y el mismo no es dañino.
Su objetivo consiste en que, para probar que el antivirus se encuentra en estado activo, el archivo EICAR debe ser detectado al momento de ser descargado o al momento de realizar una exploración, como es el caso de ESET Smart Security en esta imagen:
Evidentemente, la mayoría de los fabricantes de software antivirus, lo detectan [1] y por ende es una buena prueba de que el antivirus se encuentra funcionando y su proceso no ha sido eliminado del sistema como consecuencia del accionar de algún malware u otro desperfecto. Igualmente, pueden existir códigos maliciosos que simulan ser este archivo de testeo, por lo que es altamente recomendable siempre descargar el mismo de la página oficial de EICAR.
Se puede realizar esta prueba y comprobar si el antivirus se encuentra activo (sin realizar estas acciones en equipos de producción) descargando los archivos desde los siguientes enlaces, recordando tener activado el antivirus para que el archivo de prueba sea detectado. Recordar que este archivo no es dañino, y solo tiene el objetivo de probar la actividad del antivirus:
* http://www.eicar.org/download/eicar.com: Permite examinar si el antivirus detecta la descarga.
* http://www.eicar.org/download/eicar.com.txt: Permite visualizar el código fuente del archivo EICAR TEST FILE.
* http://www.eicar.org/download/eicar_com.zip: Para detectar archivos maliciosos que se encuentren comprimidos.
Es importante aclarar, que el hecho de que un antivirus detecte este archivo de prueba, no significa que ese antivirus sea capaz de detectar y bloquear todo tipo de malware conocido o desconocido.
Más información:
[1] Detección de EICAR Virus Total
[2] EICAR
[3] Blog Laboratorio ESET Latinoamérica
0 comentarios:
Publicar un comentario