Sábado, 9 de Enero de 2010
Estamos ya en el 2010 y queremos desear a todos nuestros lectores lo mejor durante este nuevo año; esperamos que nuestro muy próximo avast! 5 sirva para que los usuarios de avast! empiecen el año lo más seguros posible. Dado que la fecha de lanzamiento está muy próxima, es buena idea que vayamos aclarando qué se puede esperar en las desinfecciones de los virus denominados “file infectors” (infectadores de ficheros). Nuestra versión 4.x ha sido criticada en ocasiones por no poder “curar” las familias más recientes de file infectors (entendiendo por curar a la acción de limpiar todos los daños que el virus ha causado al sistema, no al hecho en sí de eliminar el virus). Las buenas noticias son que avast! 5 será mucho mejor en este aspecto.
Vamos a adentrarnos un poco más profundamente en este tema (pero no tan intensamente como para perdernos en detalles técnicos). Primero debemos expresar que avast! 4 también tiene un motor de limpieza (o “curación”). Este motor es capaz de limpiar los daños causados por cierto número de familias de malware (básicamente las más propagadas y las más peligrosas). Como muchos de vosotros habréis notado, estas infecciones son cada vez más complejas. Las familias de virus más recientes necesitan tecnología muy avanzada para realizar curaciones y esta es la primera limitación del motor de limpieza de la versión 4: no está integrado en el escaneo programado para el inicio. También se necesitan tecnologías de emulación muy depuradas. Pero esto no quiere decir que avast! 4 sea manco o inferior a cualquier otro producto (ahí están las comparativas realizadas por organismo independientes y de las cuales hemos hablado de tanto en tanto), es capaz de limpiar por ejemplo Win32:Parite (que es un elemento perenne entre las familias de virus). La cuestión clave es: ¿qué hará avast! 5 para ser mejor incluso que avast! 4?
Leer más…
Martes, 6 de Octubre de 2009
Hace poco tiempo, Andreas Marx (probador independiente de productos antivirus) envió a la mayoría de casas antivirus un archivo infectado por “Delphi Source Code infector”. Este fichero fue enlazado por páginas tan famosas como chip.de y algunas otras. Poco después fue publicado un análisis de este innovador elemento infeccioso por Kaspersky Lab y F-Secure. Pero esto sólo representa el principio de la burbuja mediática. Este virus tiene actualmente varios meses de antigüedad y prácticamente todos los desarrolladores antivirus permanecieron ciegos ante él. ¿Por qué?
Hasta ahora, los llamados “file infectors” (como Virut, Sality, Parite, etc.) han modificado archivos ejecutables en el ordenador de la víctima. Pero Win32:Induc es diferente. El proceso consiste en buscar el compilador Borland Delphi en la máquina del usuario. Si lo encuentra, el archivo SysConst.pas es sustituido por una copia maliciosa del mismo. A partir de entonces, cada proyecto Delphi que construya el usuario en un ordenador infectado estará igualmente comprometido. En otras palabras, el malware será producido por los programas que creen los desarrolladores, los cuales no tienen ninguna intención de provocar daño ya que los mismos no son conscientes de lo que está ocurriendo en sus PCs. Muchos de estos programas luego serán distribuidos (incluso estando firmados digitalmente) de manera global a través de servidores de descarga.
Un dato estadístico: pocas horas después de que la actualización de la base de datos de virus de avast! (VPS 090818-0) incluyera detección para este nuevo tipo de malware, nuestro laboratorio recibió cientos de reportes de usuarios que nos indicaban que avast! estaba produciendo falsos positivos. Todos ellos resultaron ser detecciones certeras y los archivos estaban realmente infectados. En las 12 horas siguientes a la publicación de la antedicha VPS, avast! encontró más de 200.000 ficheros comprometidos por este virus.
