Hacía tiempo ke no miraba una vieja cuenta de correo ke uso para el spam, registros en sites y... notificaciones del sub7. Cual fue mi sorpresa ke despues de tanto tiempo aún había por ahí una víctima. Seguro ke alguien me llamará lamer por haber usado alguna vez el sub7 pero me da igual, a estas alturas ya estoy acostumbrado a esas cosas.
Weno, sigo con el tema... el server me lo curré bastante, le edité la cabecera con un editor hexadecimal cambiando los textos inútiles como el típico "This program must be run under Win32" y el texto de copyright del compresor UPX. Esto lo hice para conseguir ke el Panda Antivirus no lo detectara (desde entonces uso McAfee). Pues sólo por curiosidad para ver ke antivirus tenía el individuo este, desenpolvé (o debería decir desenzipé =D) el sub7. Me encontré con el Panda y el The Cleaner 3!!! joder, yo tb lo tengo y es cierto... no detecta los servers con la cabecera cambiada.
Me gustaría saber como trabajan estos antivirus, los famosos ficheros de definiciones de virus sólo contienen los primeros bytes de los virus? y el McAfee pq lo detecta? calcula un checksum? o simplemente compara más bytes? Cuántos antivirus habrán ke dejen pasar eso por alto? un bug? una dejadez? despiste? andeandará? :-)
algunos antivirus inútiles
No se como andará la cosa con los antivirus, lo que si es cierto que hay algunos que realmente dejan mucho que desear, por ejemplo en nuestro servidor proxy tenemos instalado un Panda Titanium actualizado al dia (Se actualiza como minimo un par de veces al dia) y un dia me encontré con todo el ordenador infectado de W95/Spaces, W32/Hai, VBS/HELP, W32/Nimda, y lo sorprendentre que el antivirus no saltaba hasta que hice un examen exahustivo de todo el PC,entonces para que sirve tanto control permanente y tanta gilipollez? Mejor me lo currare en GNU/LiNUX y asi tendre que olvidarme en parte de los virus...
Ya ves, la opción ideal sería un Linux, bsd... los virus en Linux se cuentan con los dedos de la mano.
Mi experiencia con el McAfee de momento es muy buena. Lo he puesto a prueba y de momento me detecta cualkier virus instantáneamente, sólo pasando el ratón por encima de un acceso directo a un archivo infectado salta como un relámpago. Todo esto sin notar ningún consumo especial de recursos. Además este ha soportado bien el cambio al xp, no como el odioso Panda.
Pero claro, todo eso no kiere decir ke cojee por algún lado. De momento me kedo con este.
un saludo
Funciona pero ni ellos saben como xDD
Hubo un tiempo (cuando los 1ºos mcaffe y similares) q se dedicaban a desensamblar y leer los ejecutables para buscar cadenas concretas, uno d los metodos q mejor ha funcionado es buscar la firma dentro del ejecutable, pero los polimorficos no llevan (al menos la mayoria) asi q pasaron a las tecnicas heuristicas, basicamente es ver las instrucciones del codigo del supuesto virus, esto suena muy bien pero no ha sido eficaz hasta hace muy poco, se limitaban a buscar accesos a disco desde bajo nivel, manejo d direcciones d memoria poco usuales... todas esas instrucciones q hacen q el virus sea indetectable, pero claro, para conocerlas hay q haber visto el codigo d un virus 1º... la sospecha d q los creadores d virus y los d los antivirus si no son los mismos se conocen entre ellos no es tan descabellada como muchos creen...
De una forma u otra el trabajo d los antivirus cada dia es mas retorcido, ya no vale desensamblar los ejecutables o mirar checksums/tamaños, hay q hacer cada vez mas pruebas incluso solo por cargar el archivo sospechoso n memoria, y los virus no dan cuartelillo, algunos d los ultimos polimorficos tienen unas rutinas d autoencriptacion q son un primor, una virgueria desde el punto d vista tecnico, pero una putada para el q se lo cuelan...
P.D. El panda ha mejorado mucho, d no pillar una ahora al menos detecta algunos virus, pero dista mucho d ser eficaz, lo mismo q el avp ya no es lo q era... hoy dia es casi imposible saber q antivirus es mejor pero muy facil (y desagradable) saber cual no es bueno...