09 agosto 2009

¿Comparativa de Antivirus?

Pese a que siempre digo que no creo en las comparativas en general y cuando veo una siempre pienso que hay una mano que tira de una u otra barrita, alguien que se come trozos de tarta o lo difícil que resulta encontrar y definir puntos de control objetivos, yo sigo erre que erre entreteniéndome y haciendo mis grafiquitas que me gustan más que la salsa de curry, y eso que el curry me gusta mucho.

Ya todos conocemos que Hispasec dispone de Virustotal, un servicio que permite buscar en múltiples motores de antivirus si determinado fichero está infectado o no, también sabemos que hay gente que se dedica a recopilar malware y publicarlo online... así que con estos dos componentes de "motores antivirus" y "bichos a cascoporro" podemos hacer una buena mezcla.

El malware que he utilizado viene de un torrent con más de 60.000 políticos distintos, que como muestra estadística parece bastante buena.

Después de hacer unos bucles en bash y unos miles de curls... Ha salido la siguiente gráfica que tal y como he comentado, es más una reflexión/juego que una comparativa.
-- no leer --
for i in `ls -1`; do md5sum "$i"; id=`curl -s http://www.virustotal.com/vt/en/identificador`; echo "ID=$id"; html=`curl -s -F "archivo=@$i;distrubir=" "http://www.virustotal.com/vt/en/recepcion?$id"`; reanal=`echo "$html"|grep reanal|sed -e 's|.*reanalisis.html?\(.*\)\".*|\1|g'`; echo "taskid=$reanal"; html2=`curl -s http://www.virustotal.com/vt/en/reanaliza?$reanal`; result=`echo "$html2"|grep anal|sed -e 's|.*analisis/\(.*\)\".*|\1|g'`; echo "result=$result"; mv "$i" upload/; echo "---"; done |tee -a vt.log
-- no leer --
Las barras indican falsos negativos, es decir, muestras no identificadas, por lo tanto a menor longitud... mejor



Dejo pendiente hacer esto mismo con archivos dificíles y confusos de detectar para tratar de sacar un ratio de los falsos positivos, es decir aquellos archivos que nos reportan como infectados pero realmente no lo están.

11 comments :

Raúl dijo...

Siendo por algunos tan discutidas las comparativas ¿tiene este ejercicio algun valor adicional al del propio resultado obtenido con una 'pequeña' muestra de 'apenas' 60.000 ejemplares?

En mi experiencia 'microscópica' de unos 10 o 20 ejemplares al mes de malware en la web, usado para phishing o simple reclutamiento de maquinas bot, raramente son detectados en Hispasec siempre por los mismos motores de AV, suelen ser detectados por algunos de los que peor salen parados en este estudio. Si lo se, 60.000 es mejor que 10 o 20. Sin duda.

Es solo un comentario para agregar un poco de confusion a quien creia tener indicios de cual es el mejor AV.

Mejor estar atento y no confiarse mucho.

Me gusta mucho este blog. GRacias.

akae dijo...

Yo siempre había tenido en buena consideración al NOD32 y al ClamAV y tu gráfica me descoloca un poco.
En fin, a la larga está visto que el mejor antivirus es el sentido común y odiar un poco a todo el mundo...

Anónimo dijo...

Porque le llamas "políticos" a los virus? es una broma del sector que no he pillado?

Alejandro Ramos dijo...

@Raúl: si, la periodicidad de actualización de firmas también es un factor crítico, aunque casi todos se actualizan diariamente.. también el rendimiento y los requisitos, el idioma, el coste y mil factores más :)

@akae: sigue teniendolos en buena consideración!! que esta nota no dice mucho ... solo un poquito.

@Anónimo: creo que no es broma del sector, me refería al malware en general. Admiro el trabajo de políticos como cualquier otro!

www.segu-info.com.ar dijo...

Hola Alejandro:

He "respondido" a tu post con otro :)
http://blog.segu-info.com.ar/2009/08/virustotal-no-debe-ser-utilizado-para.html

Espero ninguno de los 2 post se malinterprete.

Cristian

Antonio - idd00jea dijo...

En este artículo no se consigue ver absolutamente nada en el gráfico que lo acompaña. A los que estamos muy interesados en el tema de de los antivirus, nos resulta frustrante que no podamos tomar una referencia fiable, por hacer ustedes los gráficos tan pequeños y con tan baja resolución. No es la primera vez que me encuentro este tipo de dificultades en sus artículos.

Y ya que estamos hablando de comparativas, ...¿les interesa a ustedes saber cual es el antispyware más "mentiroso" (aunque inofensivo, es casi como un "Rogue", pero se promociona de una forma diferente a los "Rogue", sin molestar al instalarse)?. Bueno, pues yo he sacado mis conclusiones después de probar y comparar muchos antiespías (buenos, regulares, malos y "mentirosos"). Echenle una "miradita" con detenimiento al SpyHunter una vez registrado o "crakeado", y verán por qué yo opino que .... ¡"SPYHUNTER" ES EL ATISPYWARE MÁS PRESUMIDO Y MENTIROSO DEL MUNDO!. Una forma muy sutíl de ganar dinero y seguir presumiendo de software efectivo, aunque no lo sea tanto. A mí no me timaron, aunque dispongo de un presupuesto especial para este tipo de inversiones (pero siempre intento pereviamente el "crack" si es posible). Pero supongo que estos señores de ENIGMASOFTWARE no se conforman con vender su software como "limpio" (realmente no lo es). Hace mucho tiempo este programa ya estuvo clasificado totalmente como Rogue, y después de ciertas modificaciones por parte de su desarrollador consiguió que lo quitaran de algunas de las listas de Rogue en Internet. Pero en su situación actual, tampoco está ni mucho menos "limpio de trucos".

Anónimo dijo...

En respuesta a:

Antonio - idd00jea

Anda majo prueba a hacer click encima de la imagen a ver si la ves mejor, prueba a cargar este enlace:

http://4.bp.blogspot.com/_LztS6-97iyY/SnmTTKIknFI/AAAAAAAAFMM/S9X-iKr_zio/s1600-h/antivirus.JPG

Antonio - idd00jea dijo...

Hombre, Anónimo, ...claro que si, desde la web se accede de PM al gráfico y se visualiza PERFECTÍSIMO.
Pero yo me refería (pido disculpas por no haberme explicado adecuadamente) a los mensajes que recibimos los que estamos suscritos a los boletines diarios de "Securitybydefault". Allí no se ve "ni papa". No siempre tenemos tiempo para verificar los gráficos entrando por web, ...sino ¿para que queremos estar suscritos a los boletines?, ...pues eso ¡para ganar tiempo!, que no nos sobra a nadie.

Queda aclarado.

Alejandro Ramos dijo...

@www.segu-info.com.ar: Gracias Cristian por aclarar lo que ya habiamos aclarado en nuestro blog con una tan correcta y trabajada entrada en el tuyo.
Creo que será muy clarificador para tus lectores (y los nuestros que lleguen gracias al link que has pegado aquí).

Lastima que no hayas puesto esta información (o el artículo de hispasec del que te has basado) en nuestra página web como un comentario.

Un saludo y como siempre, un placer tenerte por aquí.

www.segu-info.com.ar dijo...

Hola Alejandro, el post de Hispasec que menciono es este: http://blog.hispasec.com/virustotal/22

Saludos!

Cristian

Carlos Arias dijo...

En la comparativa has puesto nombres de compañías, no los productos en concreto que han sido probados de cada una.

Y también estaría bien saber cuáles eran las condiciones en las que se hizo la prueba, es decir, si el pc estaba conectado a Internet o no, si los virus probados están en activo, si el antivirus estaba correctamente actualizado...

Esto de las comparativas no es tan sencillo como parece :)