Probamos cuatro programas antivirus para Windows 95 y Windows NT
Dr. Solomon"s Toolkit 7.83, Antivirus Anyware 3.0 y Server Protect 4.53, Panda Antivirus 5.0 y 2.0, Network Associates VirusScan 3.1.6 y NetShield 3.1.4
Eran las ocho de la tarde y Alfonso, antes de marcharse a casa, decidió enviar a su cuenta personal de correo electrónico el informe trimestral de la empresa que tenía archivado en el servidor corporativo, durante el fin de semana le echaría un vistazo . Quien le iba a decir que, junto con su correo, iba a recibir una no muy grata sorpresa . Juan había realizado un programa para clase, el profesor cogió el disco y ejecutó su contenido para comprobar su buen funcionamiento . Ese día terminarían antes de lo previsto la clase .
Historias como estas ponen de relieve una vez más, y como no podría ser de otra manera en un mundo en el que Internet y las redes corporativas mantienen los ordenadores comunicados con un flujo importante de información, que los antivirus están en el centro de la atención . En este ámbito, en el que el uso del correo electrónico, la transferencia de ficheros por medio de servidores ftp y la ejecución de aplicaciones Java obtenidas a través de la Red es considerable, se hace cada vez más importante tener la seguridad de que nuestro ordenador no se verá infectado por ningún virus, con la consiguiente perdida, en algunos casos irreparable, de información . Lo más importante pues, será detectar con la mayor brevedad posible la existencia de una infección para tomar las medidas oportunas, utilizando el antivirus correspondiente si existe o aislando el foco de infección .
En este artículo se van a comparar cuatro programas antivirus para Windows 95, y también se va a realizar un análisis de las versiones correspondientes para Windows NT, quizás, un poco relegadas a segundo plano, pero no por ello menos importantes .
Prevenir desde el principio
Cada vez más, los distribuidores y fabricantes tienen que estar mentalizados de la problemática que plantean los virus en sus cadenas de montaje, puesto que en el proceso de preinstalación se puede ocultar algún virus, y como consecuencia generar costes elevados que, en última instancia, van a gravarse sobre la garantía de los equipos afectados y la imagen de la empresa .
Esta concienciación se va generalizando cada vez más y ya hay gran número de fabricantes que están incorporando en sus equipos programas de antivirus . En esta línea de actuación se están realizando campañas por parte de las empresas desarrolladoras de programas antivirus bastante considerables, un ejemplo de ello son los Dealer Kits de Panda y Anyware, en los que se entregan, dependiendo del caso, un número de licencias para distribuir con los equipos montados .
Otro sector que debe adquirir mayor concienciación, si no la tiene ya, es el de los administradores de sistemas . No basta con tener bien definidos los permisos de un sistema, ni la seguridad para evitar el acceso de usuarios desconocidos . Internet es una fuente inagotable de virus y en consecuencia una posible amenaza para un sistema . Cualquier mensaje de correo electrónico, página dinámica con applets, etc . , puede ser el origen de una infección en el servidor, con resultados desastrosos para todos los usuarios .
Un factor que se va a tener en cuenta de manera considerable, al menos en las versiones para Windows 95, va a ser la interfaz de todos estos programas con el usuario . Quizá no parezca un punto importante a primera vista, pero hay que considerar que el usuario, posible afectado de una infección, al encontrarse con un virus en su sistema lo que necesita es una interfaz clara y muy sencilla para que no suponga un obstáculo más la tarea de intentar ver hasta qué punto está su sistema afectado y de qué manera, si es posible, limpiarlo y dejarlo operativo nuevamente .
Así pues, a la hora de evaluar los diferentes productos, se ha tenido en cuenta, además de la cantidad de virus detectados, la interfaz ( como ya se mencionó anteriormente ) , el soporte técnico ofrecido, la posibilidad de obtener actualizaciones ( teniendo en cuenta su coste y frecuencia ) , las certificaciones obtenidas, así como otros valores añadidos . La velocidad de procesamiento no será un factor a tener muy en cuenta, puesto que lo importante no es lo que se tarde sino lo eficiente que se sea, aunque no se puede decir que no sea un factor más a la hora de inclinarse por un producto u otro .
Los puntos fundamentales en los que hay que fijarse a la hora de evaluar el funcionamiento de todo antivirus son: la prevención, la detección y la eliminación .
La prevención es un factor clave de todo antivirus, puesto que el objetivo final de todos estos programas es evitar que cualquier virus se introduzca en el sistema que está protegiendo, rompiendo de este modo la seguridad del mismo . Así pues, esta fase va a implicar la existencia de un programa que se esté ejecutando de forma continua en el sistema, en el caso de los antivirus para servidores NT este programa se instalará y comportará como un servicio del sistema . La función de este programa es bastante evidente, se trata de detectar un posible intento de infección, ya sea por parte de los virus conocidos ( y por esto se entiende virus con un patrón concreto y conocido ) o virus desconocidos, cuyo patrón se desconoce en ese momento o ha mutado . Para realizar la detección de estos últimos se utilizan funciones de análisis heurístico que evalúan los comportamientos sospechosos, como son el número de veces que se accede al disco, a distintos programas, a la tabla de particiones o al sector de arranque y, en función del análisis probabilístico realizado, se estima la existencia de un virus cuyo patrón es desconocido en ese instante .
La detección es otro elemento clave de un antivirus, en este proceso se va a realizar una búsqueda en memoria, en el sector de arranque y sistemas de archivos para localizar la posible existencia de un virus .
Finalmente, la eliminación del virus en el sistema es el último punto que nos resta, y al que sería deseable no tener que llegar nunca . En este proceso se va a intentar, siempre y cuando sea posible y el daño no sea irreversible, la limpieza del virus de los elementos afectados por su acción, sectores de arranque, tablas de partición, y ficheros . Llegados a este punto y si dicha desinfección resultara imposible, la mayoría de los antivirus, por no decir todos, ofrecen varias posibilidades . Estas opciones abarcan desde el borrado del fichero afectado, hasta el bloqueo del sistema para impedir su propagación por él, pasando por el renombrado del fichero para saber que está infectado y poder analizar su comportamiento y desarrollar la vacuna correspondiente .
Certificaciones
En cuestión de certificaciones, las más importantes son las proporcionadas por la NCSA ( National Computer Security Association ) , denominada en la actualidad ICSA ( International Computer Security Association ) y el CheckMark realizado por los laboratorios del grupo West Coast Publishing .
Las pruebas realizadas para dar la certificación de la ICSA son dos: que se detecte el cien por cien de los virus definidos en los que se denomina la “Wild List” y que se detecte un mínimo del 90 por ciento del “Zoo” de virus de la ICSA, realizados a partir de los 10 . 000 virus más conocidos . Puesto que se está realizando el descubrimiento de virus continuamente, la “Wild List” empleada es la de dos meses antes de la fecha de realización de las pruebas .
La política seguida por esta organización es que se realicen comprobaciones como mínimo 4 veces al año, pudiendo ser llevadas a cabo sin el conocimiento previo del desarrollador, para así garantizar que el certificado no es de una versión específica, sino del producto . Si al realizar las comprobaciones de rigor el producto no pasa alguno de los dos requisitos, se hace público y se le da un período de 7 días al desarrollador para subsanar los fallos . Si en este
