La prueba se realize a partir del 1 al 21 de junio de este año usando Windows XP Profesional SP2 sobre un procesador Pentium4 de 3200 ghz con 2GB de memoria DDRAM
Todos los programas probados estaban en sus ultimas versiones y actualizaciones. Fueron probados con sus capacidades de búsqueda al máximo (heurística, examen completo, etc…
Las opciones por default de los programas no fueron usadas, fueron cambiadas para lograr el maximo radio de deteccion possible. Por esto, existe la posibilidad de que algunos antivirus dieran falsos positivos.
Todos los programas fueron actualizados al dia 31 de mayo del 2008 entra las 9:00 AM y 12:00 PM.
Las 246705 muestras de virus fueron escogidas usando VS2000 de acuerdo con Kaspersky, F.Prot, Nod32, Dr. web,Bitdefender y Mc Afee .
Cada muestra de virus fue única por nombre de virus, lo que significa que por lo menos 1 programa antivirus los ha detectado como nuevo virus.
Virus basados en MS-DOS no fueron usadas
TODOS las muestras de los virus fueron desenpaquetadas, solo las muestras fueron guardadas y fueron empaquetadas usando compresores externos dos (lo que significa que no se usaron programas como Winzip, Winrar, WinAce, etc…).
Las muestras de virus tuvieron extensions correctas usando un programa especial (Renext) y fueron unicas, de acuerdo con el checksum32 de cada tamaño de archivo
Muchas muestras de virus falsos fueron removidas y tratadas como archives basura
El programa PER no fue probado debido a que no cuenta con una versión en ingles disponible.
L;os programas Command y Extendia AVK no fueron probados debido a que no cuentan con versiones demo disponibles.
El modo de escaneo a profundidad no fue usado en VBA32 debido a su lento proceso de escaneo.
El programa A-Squared Anti-Malware es un programa anti-troyanos/anti-spyware, no un programa antivirus.
El programa F-Prot fue probado usando su linea de commando de escaneo (opciones fpscan j:\avtest\trobo /adware /applications /output=fpscan_report.log /streams /maxdepth=4 /heurlevel=4) debido a que su GUI causaba errores.
Los programas Kingsoft y ZondexGuard no fueron probados porque no pudieron ser actualizadas.
Los programas Windows Live OneCare , BKAV y MoonSecureAV causaron errors mientras analizaban las muestras.
El programa AntiVir ahora es llamado Avira AntiVir.
El programa Fire usa exactamente el mismo motor que Solo.
El programa Vexira usa el mismo motor que VirusBuster.
El programa BullGuard usa el mismo motor que BitDefender free edition.
El programa Avast Professional usa el mismo motor que Avast free edition.
El programa AVG Pro usa el mismo motor que AVG Antivirus free edition PLUS the rootkit detection.
El programa A-squared Anti-Malware Professional usa el mismo motor que A-squared free edition.
InVircible no incluye la opcion de escaneo tipico y no pudo ser probada.
V-Catch solo escaneo cuentas de mail y no pudo ser probado.
Escanners basados en sistemas DOS no fueron probados.
Se usaron los siguientes tipos de archivos.
SH, ELF, COM, EXE, PL, BAT, PRC, DOC, XLS, BIN, MDB, IMG, PPT, VBS, MSG, VBA, OLE, HTM, INI, SMM, TD0, REG, CLASS, HTA, JS, VI_, URL, PHP, WMF, HLP, XML, SCR, PIF, SHS, WBT, CSC, MAC, DAT, CLS, STI, INF, HQX, XMI, SIT.
Las pruebas de virus fueron divididas en las siguientes categorias de acuerdo al tipo de virus :
Archivo = BeOS, FreeBSD, Linux, Mac, Palm, OS2, Unix, BinaryImage, BAS viruses, MenuetOS.
Windows = Win.*.* viruses.
Macro = Macro, Multi and Formula viruses.
Malware = Adware, DoS, Constructors, Exploit, Flooders, Nukers, Sniffers, SpamTools, Spoofers, Virus Construction Tools, Droppers, PolyEngines, Rootkits, Packed.
Script = ABAP, BAT, Corel, HTML, Java, Scripts, MSH, VBS, WBS, Worms, PHP, Perl, Ruby, Python, WHS, TSQL, ASP, SAP, QNX, Matlab viruses.
Troyanos-Backdoors = Trojan and Backdoor viruses.
Rank
1. G DATA 2008 version 18.2.7310.844 - 99.05%
2. F-Secure 2008 version 8.00.103 - 98.75%
3. TrustPort version 2.8.0.1835 - 98.06%
4. Kaspersky version 8.0.0.357 - 97.95%
5. eScan version 9.0.742.1 - 97.44%
6. The Shield 2008 - 97.43%
7. AntiVir version 8.1.00.331 Premium - 97.13%
8. Ashampoo version 1.61 - 97.09%
9. Ikarus version 1.0.82 - 96.05%
10. AntiVir version 8.1.00.295 Classic - 95.54%
11AVG version 8.0.100 Free - 94.85% .
12. BitDefender 2008 version 11.0.16 - 94.70%
13. Avast version 4.8.1201 Professional - 93.78%
14. Nod32 version 3.0.650.0 - 93.36%
15. F-Prot version 6.0.9.1 - 91.87%
16. BitDefender version 10 Free - 91.32%
17. ArcaVir 2008 - 88.65%
18. Norman version 5.92.08 - 87.72%
19. Vba32 version 3.12.6.6 - 87.21%
20. McAfee Enterpise version 8.5.0i - 86.57%
21. McAfee version 12.0.177 - 86.39%
22. Rising AV version 20.46.52 - 85.87%
23. Norton 2008 - 83.34%
24. Dr. Web version 4.44.5 - 82.87%
25. Antiy Ghostbusters version 5.2.3 - 80.23%
26. VirusBuster version 5.002.62 - 77.19%
27. Outpost version 6.0.2294.253.0490 - 75.35%
28. V3 Internet Security version 2008.05.31.00 - 75.23%
29. ViRobot Expert version 5.5 - 74.50%
30. Virus Chaser version 5.0a - 73.65%
31. A-squared Anti-Malware version 3.5 - 71.66%
32. PC Tools version 4.0.0.26 - 69.82%
33. Trend Micro Antivirus+Antispyware 2008 version 16.10.1079 - 67.28%
34. Iolo version 4.325 - 63.98%
34. Panda 2008 version 3.01.00 - 61.41%
36. Sophos Sweep version 7.3.2 - 54.71%
37. ClamWin version 0.93 - 54.68%
38. CA Anti-Virus version 9.00.170 - 51.08%
39. Quick Heal version 9.50 - 47.97%
40. Comodo version 2.0.17.58 - 43.15%
41. Trojan Hunter version 5.0.962 - 31.39%
42. Solo version 7.0 - 21.10%
43. Protector Plus version 8.0.C03 - 20.14%
44. PCClear version 1.0.8.0 - 19.63%
45. AntiTrojan Shield version 2.1.0.14 - 14.74%
46. Trojan Remover version 6.6.9 - 13.49%
47. VirIT version 6.2.94 - 8.63%
48. True Sword version 4.2 - 3.42%
49. Abacre version 1.4 - 0.00%
informacion sacada de virus.gr
Personalmente a mi juicio hay antivirus que no deberian estar en esta lista, sin embargo al no ser un tecnico en virus no puedo dar un juicio tan exacto como estas personas.
Si bien en este momento solo uso el NOD32 debo decir que el mejor ranking respecto a los virus es el que hace el usuario y personalmente para mi el mejor es el NOD32
lunes, 13 de octubre de 2008
heuristica
Muchas veces hablamos de los productos antivirus, y entre amigos comentamos que si este es mejor que el otro, que si la detección basada en firmas de aquel es mejor que la del vecino, o que la heurística de un producto determinado es francamente buena.
La heurística muchas veces es vista como magia, como esa capacidad que tiene una solución antivirus para clasificar como maliciosa una muestra sin tener consignada una firma específica para la misma. Una técnica "mágica" que permite marcar al software como sospechoso de tener un comportamiento potencialmente malicioso.
Todos somos heurísticos
Nada mas lejos de la realidad. El principio de la heurística es muy sencillo y fácil de comprender. Otro tema bien distinto es que los algoritmos resultantes sean mejores o peores, que es donde está realmente el quid de la cuestión.
Imagínate que vas por la calle y notas que te sigue alguien. Te fijas por un reflejo o te das la vuelta y ves que ese alguien tiene un aspecto sospechoso y actúa de forma sospechosa. Lo más normal es que en este punto, tú clasifiques a ese individuo como sospechoso y cambies tu estado de tranquilidad por un estado de alerta. Eso es heurística, es un comportamiento basado en la experiencia, que se va modificando en función a los acontecimientos.
Wikipedia: Se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines.
Heurística en computación
En computación el concepto es perfectamente portable. Si tenemos el motor antivirus corriendo y detecta un comportamiento sospechoso, éste pasará a un estado de alerta y nos notificará que la muestra es potencialmente peligrosa. El antivirus no va a estar totalmente seguro del carácter malicioso, puesto que lo ha marcado como sospechoso en función a indicios de comportamiento, y no en función a una firma conocida y con la que existe un 100% de coincidencia. El sistema realiza innovaciones positivas para su finalidad (nuestra salvaguarda) en tiempo real, o al menos, de modo inmediato. ¿Fácil verdad?
Wikipedia: Los productos antivirus suelen tener técnicas de reconocimiento inteligente de códigos maliciosos (virus, gusanos, caballos de troya, etc), las cuales se conocen comúnmente bajo el nombre de heurísticas. El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensemblado, desempaquetamiento, entre otros.
De lo sencillo a lo complicado
Este análisis de comportamiento sencillito que hemos visto da origen a toda una rama de las ciencias exactas. Las matemáticas heurísticas son complejas, ya que a fin de cuentas tratan de modelizar comportamientos y no realidades claras y directas. La gran mayoría de las veces, los resultados de este tipo de aproximaciones no podrán ser explicadas.
Estas técnicas de reconocimiento inteligente son lo que matemáticamente se conoce como algoritmos exploratorios multivariantes. Veamos qué es cada cosa en esa frase.
* Algoritmo: Modelización matemática de un comportamiento finito, es decir, que tiene un comienzo y un final.
* Exploratorio: Método de observación y análisis que permite, posteriormente, la toma de decisiones.
* Multivariante: Carácter matemático que establece la dependencia de un evento determinado de múltiples factores concurrentes.
En resumen, si la detección heurística de virus es un problema matemático de exploración multivariante que necesita ser modelizado, a través de distintos algoritmos. Se trata por tanto, de observar la realidad y ver cómo afectan todas las condiciones de contorno consideradas en la detección de la muestra, para posteriormente poder extraer inteligencia del proceso, convirtiendo el experimento de observación en un modelo escalable que sea válido en futuras aproximaciones sin perder su capacidad de representación óptima de la realidad.
Wikipedia:
Firmas Genéricas
Muchos códigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.
Reconocimiento de código compilado
Cuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar ciertas acciones. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.
Desensamblado
Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos productos antivirus es capaz de analizar el código fuente de los programas sospechosos con el fin de reconocer en él técnicas de desarrollo que normalmente sean usadas por los programadores de virus y así reconocer un código malicioso nuevo sin la necesidad de una actualización.
Desempaquetamiento
Los programadores de códigos maliciosos suelen usar empaquetadores de archivos con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Empaquetadores como UPX, son ampliamente utilizados para esto. Para evitar ser engañados por un código malicioso antiguo, reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento con el fin de poder analizar el código real del programa, y no el empaquetado.
Evaluaciones Retrospectivas
La Heurística es un aspecto muy díficil de probar en los productos antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los productos antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.
Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.
La mejor heurística, la más óptima
Por definición, un algoritmo heurístico es aquel que, sin poder obtener certeza de un evento, se pretende aproximar lo máximo a la realidad. Parece por tanto adecuado deducir que el mejor algoritmo heurístico será aquel que, para una actividad determinada, se aproxime más al comportamiento real de los sucesos sometidos a exploración. Los factores de mejora básicos de la optimización son los siguientes:
* Inversión mínima de recursos computacionales
* Minimización de falsos positivos y fallidos verdaderos
* Extensibilidad del modelo a escenarios de alta variabilidad
Esto es lo que hace que una solución antivirus heurística pase de ser mediocre a buena. La capacidad de aproximación a la realidad y la multivarianza de los factores de amenaza.
Un motor antivirus heurístico que califique todas las muestras como sospechosas es un motor heurístico, pero no es óptimo. Tampoco lo es el que comete demasiadas falsas identificaciones, ni tampoco lo es el que no termina de estar seguro y deja pasar como válidas muestras que no lo son.
La heurística muchas veces es vista como magia, como esa capacidad que tiene una solución antivirus para clasificar como maliciosa una muestra sin tener consignada una firma específica para la misma. Una técnica "mágica" que permite marcar al software como sospechoso de tener un comportamiento potencialmente malicioso.
Todos somos heurísticos
Nada mas lejos de la realidad. El principio de la heurística es muy sencillo y fácil de comprender. Otro tema bien distinto es que los algoritmos resultantes sean mejores o peores, que es donde está realmente el quid de la cuestión.
Imagínate que vas por la calle y notas que te sigue alguien. Te fijas por un reflejo o te das la vuelta y ves que ese alguien tiene un aspecto sospechoso y actúa de forma sospechosa. Lo más normal es que en este punto, tú clasifiques a ese individuo como sospechoso y cambies tu estado de tranquilidad por un estado de alerta. Eso es heurística, es un comportamiento basado en la experiencia, que se va modificando en función a los acontecimientos.
Wikipedia: Se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines.
Heurística en computación
En computación el concepto es perfectamente portable. Si tenemos el motor antivirus corriendo y detecta un comportamiento sospechoso, éste pasará a un estado de alerta y nos notificará que la muestra es potencialmente peligrosa. El antivirus no va a estar totalmente seguro del carácter malicioso, puesto que lo ha marcado como sospechoso en función a indicios de comportamiento, y no en función a una firma conocida y con la que existe un 100% de coincidencia. El sistema realiza innovaciones positivas para su finalidad (nuestra salvaguarda) en tiempo real, o al menos, de modo inmediato. ¿Fácil verdad?
Wikipedia: Los productos antivirus suelen tener técnicas de reconocimiento inteligente de códigos maliciosos (virus, gusanos, caballos de troya, etc), las cuales se conocen comúnmente bajo el nombre de heurísticas. El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensemblado, desempaquetamiento, entre otros.
De lo sencillo a lo complicado
Este análisis de comportamiento sencillito que hemos visto da origen a toda una rama de las ciencias exactas. Las matemáticas heurísticas son complejas, ya que a fin de cuentas tratan de modelizar comportamientos y no realidades claras y directas. La gran mayoría de las veces, los resultados de este tipo de aproximaciones no podrán ser explicadas.
Estas técnicas de reconocimiento inteligente son lo que matemáticamente se conoce como algoritmos exploratorios multivariantes. Veamos qué es cada cosa en esa frase.
* Algoritmo: Modelización matemática de un comportamiento finito, es decir, que tiene un comienzo y un final.
* Exploratorio: Método de observación y análisis que permite, posteriormente, la toma de decisiones.
* Multivariante: Carácter matemático que establece la dependencia de un evento determinado de múltiples factores concurrentes.
En resumen, si la detección heurística de virus es un problema matemático de exploración multivariante que necesita ser modelizado, a través de distintos algoritmos. Se trata por tanto, de observar la realidad y ver cómo afectan todas las condiciones de contorno consideradas en la detección de la muestra, para posteriormente poder extraer inteligencia del proceso, convirtiendo el experimento de observación en un modelo escalable que sea válido en futuras aproximaciones sin perder su capacidad de representación óptima de la realidad.
Wikipedia:
Firmas Genéricas
Muchos códigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.
Reconocimiento de código compilado
Cuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar ciertas acciones. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.
Desensamblado
Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos productos antivirus es capaz de analizar el código fuente de los programas sospechosos con el fin de reconocer en él técnicas de desarrollo que normalmente sean usadas por los programadores de virus y así reconocer un código malicioso nuevo sin la necesidad de una actualización.
Desempaquetamiento
Los programadores de códigos maliciosos suelen usar empaquetadores de archivos con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Empaquetadores como UPX, son ampliamente utilizados para esto. Para evitar ser engañados por un código malicioso antiguo, reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento con el fin de poder analizar el código real del programa, y no el empaquetado.
Evaluaciones Retrospectivas
La Heurística es un aspecto muy díficil de probar en los productos antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los productos antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.
Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.
La mejor heurística, la más óptima
Por definición, un algoritmo heurístico es aquel que, sin poder obtener certeza de un evento, se pretende aproximar lo máximo a la realidad. Parece por tanto adecuado deducir que el mejor algoritmo heurístico será aquel que, para una actividad determinada, se aproxime más al comportamiento real de los sucesos sometidos a exploración. Los factores de mejora básicos de la optimización son los siguientes:
* Inversión mínima de recursos computacionales
* Minimización de falsos positivos y fallidos verdaderos
* Extensibilidad del modelo a escenarios de alta variabilidad
Esto es lo que hace que una solución antivirus heurística pase de ser mediocre a buena. La capacidad de aproximación a la realidad y la multivarianza de los factores de amenaza.
Un motor antivirus heurístico que califique todas las muestras como sospechosas es un motor heurístico, pero no es óptimo. Tampoco lo es el que comete demasiadas falsas identificaciones, ni tampoco lo es el que no termina de estar seguro y deja pasar como válidas muestras que no lo son.
Suscribirse a:
Entradas (Atom)