The Profecy LabS: Macrocomparativa de antivirus

Macrocomparativa de antivirus Dark Node '97 Aca les presento una comparativa entre los 4 mejores antivirus del momento: Antiviral Toolkit Pro, Thunder Byte, F-Prot, Dr. Solomon's. El texto lo encontre hace tiempo navegando por internet y me parecio muy interesante, asi que aca se los presento a ustedes:

En vista de la reciente, o casi reciente salida al mercado de nuevas ver- siones de los antivirus más populares, y aprovechando que estamos empezan- do el año, he decidido realizar la habitual macrocomparativa de Dark Node, que suele tener lugar por estas fechas.

--¦ Especificaciones técnicas +-------------------------------------------

Los tests comparativos se han realizado bajo tres procesadores distintos: un 486DX/2 a 66MHz, un Pentium a 200MHz, y la parte de emulación de código DOS de un PowerPC a 200MHz; esto ha ayudado a sumar los tiempos de escaneo de cada antivirus y así hallar una media que pueda proporcionar una visión fiable de lo que es la velocidad de cada uno.

Los equipos en los que se encontraban los citados procesadores son un In- ves Covadonga con 270Mb de HD y 16Mb de RAM, un Inves Teide con 1.2Gb de HD y 32Mb de RAM, y un Power Macintosh con 2.1Gb de HD y 128Mb de RAM.

En cuanto a los objetos a escanear, este año, en vistas de ofrecer unos resultados más fiables, se han mezclado virus y ficheros sin infectar, pe- ro con rasgos característicos de virus; de esta forma, no sólo se evalúa la calidad de los escaneos heurísticos, sino que también entra el juego el factor velocidad, ya que algunos antivirus (xej, el TbScan) obtienen mejo- res resultados utilizando ciertos 'trucos sucios', como dejar de escanear los ficheros una vez que han encontrado un virus, sin contar con la posi- bilidad de que el fichero pueda haber sido infectado dos veces.

Respecto a los virus utilizados, contamos con un universo cada vez más fiable (9000), constituyendo prácticamente el total de los virus conocidos actualmente, ya bien de colección o virus in the wild. En la colección van incluídos todo tipo de infectores (ANS, ASM, BAT, COM, EXE -diferentes ti- pos-, LIB, OBJ, OVL, FlashBIOS, boot, MBR, SYS...), así como virus de ma- cro, también de diversos tipos (WinWord, AmiPro, Excel...). No se han in- cluído, por el contrario, ni troyanos ni overwritings, con el fin de obte- ner unos resultados más fiables en las pruebas de desinfección.

Los citados 9000 virus, por tanto, se han unido a 11000 ficheros 'capcio- sos', constituyendo un total de 20000 ficheros a escanear en un mismo di- rectorio, con el fin, como ya especifiqué anteriormente, de obtener unos resultados lo más parecidos a la realidad.

Se han evaluado las versiones más recientes de los antivirus más populares del mercado, excluyendo aquellos cuyo uso puede llegar incluso a favorecer la actividad vírica debido a su inoperancia (Artemis, PC-Vir, Panda, Scan, XScan...), con el fin de centrarse en los realmente importantes y que pue- den llegar a ofrecer prestaciones interesantes.

Los antivirus seleccionados, de acuerdo con los resultados obtenidos en anteriores comparativas, fueron el AVP (versión 3.0ß), el F-Prot (versión 2.25), el DrSolomon's (versión 7.66), y el TBAV (versión 7.07), todos e- llos en sus versiones registradas.

Ya por último, hay que destacar el nuevo tipo de análisis que se ha reali- zado, con objeto de no dejar simplemente que el lector de la comparativa extraiga su propia conclusión, sino de ofrecer unos resultados finales de acuerdo con la relación fiabilidad/tiempo de cada antivirus.

Este nuevo tipo de análisis consiste en hacer una doble evaluación; la primera, en relación a la detección, obtiene un coeficiente de fiabilidad tras restar al porcentaje total de virus detectados el porcentaje total de falsos positivos; el segundo coeficiente de fiabilidad está relacionado con el campo de la desinfección, y se obtiene tras calcular el porcentaje medio entre el porcentaje total y el parcial (de los virus detectados) de virus desinfectados *correctamente*.

La suma de estos dos coeficientes da como resultado el porcentaje total de fiabilidad (detección/desinfección), que, dividido entre el tiempo medio de escaneo en segundos, y multiplicado por cien nos da como resultado el coeficiente total de la relación fiabilidad/velocidad.

Por supuesto, tras todas estas sumas de porcentajes, medias, y divisiones, el valor de una décima de punto en este coeficiente puede parecer ínfimo, pero en realidad supone una diferencia sustancial, dado el escaso margen de evaluación, por lo que los resultados oscilarán, con casi total seguri- dad, dentro del mismo punto, diferenciándose por décimas.

Una vez desarrollada la explicación de todas las especificaciones y demás pormenores, vamos ya a ver los resultados de estos cuatro antivirus y, más adelante, las observaciones acerca de cada uno de ellos.

--¦ Pruebas de detección +------------------------------------------------

Antivirus _______V.det. %Vd. F.pos. %Fp. Heur. %Vdh Cfc.det.

---------------------- ------- -------- ------- ------- ----- ------- --------

AVP 3.0ß+ ______8879_ 98.66% 137 1.25% 809 9.11% 97.91%

F-Prot 2.25+_____ 8621 95.79% 1053 9.57% 712 8.26% 86.24%

DrSolomon's 7.66+ 8239 91.54% 1339 12.17% 711 8.63% 79.37%

TBAV 7.07+_____ 6768 75.20% 8112 73.75% 2819 41.65% 1.45%

(*) V.det. : virus detectados (sobre un total de 9000)

%Vd. : porcentaje de virus detectados

F.pos. : falsos positivos (sobre un total de 11000)

%Fp. : porcentaje de falsos positivos

Heur. : virus detectados por heurística

%Vdh : porcentaje de virus detectados por heurística

Cfc.det.: coeficiente de detección

--¦ Pruebas de desinfección +---------------------------------------------

Antivirus________ V.des. %Vdst. %Vdsp. Cfc.des.

------------------------ ------ --------- --------- ----------

AVP 3.0ß+_______ 8002 90.12% 99.16% 94.64%

F-Prot 2.25+______7732 89.69% 95.35% 92.52%

DrSolomon's 7.66+ 7368 89.43% 97.87% 93.65%

TBAV 7.07+_____ 1886 27.87% 47.76% 37.82%

(*) V.des. : virus desinfectados (sobre un total de 9000) %Vdst. : porcentaje de virus desinfectados sobre el total %Vdsp. : porcentaje de virus desinfectados sobre el parcial Cfc.des.: coeficiente de desinfección

--¦ Resultados finales +--------------------------------------------------

Antivirus Cfc.det. Cfc.des. Cfc.prc. Vel.med. ¦ Cfc.tot. ¦

------------------------ --------- --------- --------- -------- ¦ -------- ¦

AVP 3.0ß+_______ 97.91% 94.64% 96.28% 23'38" ¦ 6.8 ¦

F-Prot 2.25+______86.24% 92.52% 89.38% 24'11" ¦ 6.2 ¦

DrSolomon's 7.66+ 79.37% 93.65% 86.51% 23'41" ¦ 6.1 ¦

TBAV 7.07+______ 1.45% 37.82% 19.64% _6'26" ¦ 5.1 ¦

(*) Cfc.det.: coeficiente de detección Cfc.des.: coeficiente de desinfección Cfc.prc.: coeficiente parcial Vel.med.: velocidad media (486 66MHz+Pentium 200MHz+PowerPC 200MHz) Cfc.tot.: coeficiente total fiabilidad/velocidad

--¦ Observaciones +-------------------------------------------------------

AVP 3.0ß: el producto de KAMI Corp. ha experimentado una mejora sustancial en todos los aspectos: es el antivirus que más virus detecta por cadenas, ha mejorado su velocidad (hasta el punto de superar al F-Prot y al DrSolo- mon's), y ya no tiene problemas con la gestión de memoria. Quizás lo más sorprendente sea la fiabilidad de su heurística, al haber detectado tan solo 137 falsos positivos de un total de 11000 ficheros. Por supuesto, en la comparativa no se ha utilizado el escaneo por CRC, que aumenta su velo- cidad hasta el punto de convertirlo unas siete veces más rápido. Por últi- mo, cabe destacar, como siempre, la fiabilidad a la hora de desinfectar ficheros, limpiando un porcentaje muy elevado. Como siempre, pero esta vez un poco más gracias a sus mejoras, un sobresaliente, sobre todo a su heu- rística, que cada vez va a más.

F-Prot 2.25: el motor del antivirus es el mismo que el de otras ocasiones, y lo único que ha cambiado ha sido el número de virus identificados, desde hace un mes aproximadamente inferior al del AVP, aunque realmente elevado. Sigue destacando su fiabilidad, y el número de falsos positivos detectados (1053) no deja de ser normal. En cuanto a la desinfección, sigue sin ser capaz de limpiar primeras generaciones, así como virus generados por kits de construcción. También este tipo de virus han influído en el tiempo, que desgraciadamente es cada vez superior (debido al mayor número de cadenas), ya que tarda bastante tratando de identificar variantes específicas. No obstante, felicidades a Frisk por seguir teniendo el segundo mejor produc- to del mercado.

DrSolomon's 7.66: se ha mostrado muy equilibrado en todos los aspectos, aunque quizás algo por debajo de sus posibilidades. La menor popularidad del antivirus provoca una menor identificación de virus por cadenas, y, aunque su heurística alcanza unos niveles realmente buenos, no ha podido llegar más alto. La desinfección también es muy buena, y no tiene los fa- llos de la del F-Prot; por último, el tiempo ya no asombra como asombraba antes, habiendo llegado incluso a superar al TBAV. Esto se debe al incre- mento del número de virus detectados, pero seguro que reescribiendo el an- tivirus y optimizando el código de ciertas rutinas de gestión de memoria puede llegar a volver por sus fueros. Una muy buena impresión en general y estupendo incentivo para que los desarrolladores del F-Prot no se duerman en los laureles.

TBAV 7.07: ha ofrecido su realidad más cruda, así como una imagen de deja- dez y falta de profesionalidad por su autor. Identifica menos de la mitad de los virus que sus oponentes; como apoyo, cuenta con una heurística al- tamente sensible, que ha detectado casi tantos falsos positivos como virus en total, y que se ha dejado en el tintero el 25% del total sin detectar. Sin embargo, en los resultados que ofrece no especifica el número de virus detectados por cadenas y por heurística, sino que simplemente hace una su- ma y ofrece el total, habiéndome obligado a escribir un procesador de logs que hiciese estos cálculos. De todas formas, no fue el único programa es- pecífico que tuve que escribir, ya que, para las pruebas de desinfección y dadas las nulas prestaciones que ofrece su módulo de desinfección, el Tb- Clean, con vistas a infecciones masivas, tuve que hacer otro programa para automatizar la tarea y no eternizarme tecleando el nombre del fichero in- fectado a mano. La desinfección es lenta (el módulo es genérico), escasa- mente efectiva (apenas un 27% del total y un 47% parcial), y nada fiable, ya que en un gran número de ocasiones nos dice que el fichero está desin- fectado correctamente sin ser esto cierto. Este mismo tipo de engaño es o- frecido con el tiempo de escaneo (quitándose segundos), que es la única característica positiva que podemos reseñar en este antivirus, cuya segu- ridad hace aguas por todas partes al no tener sus rutinas protegidas, cu- yas bases de datos conservan la misma encriptación desde la versión 6.51, y para el que siguen sirviendo las mismas llaves de registro falsas desde la versión 6.35. Un suspenso y un buen tirón de orejas, pues, para los de- sarrolladores del Thunderbyte.