lunes, 29 de noviembre de 2004

VirusTotal aumenta su poder de detección e incorpora nuevas funcionalidades

El servicio de análisis de archivos sospechosos VirusTotal aumenta
su poder de detección con la incorporación de nuevos motores
antivirus. Además se han activado nuevas funcionalidades para usuarios
y laboratorios antivirus.

A las soluciones antivirus anteriormente existentes: BitDefender,
ClamAV, eTrust-Iris, F-Prot, Kaspersky, NOD32, Norman, Panda, Sybari
y Symantec, se suman a VirusTotal las incorporaciones de AntiVir,
DrWeb y eTrust-Vet.

Si además tenemos en cuenta que la solución de Sybari está configurada
de forma que utiliza los motores de eTrust-Iris, eTrust-Vet,
Kaspersky, McAfee, Norman, Sophos y VirusBuster, tenemos que los
archivos enviados a VirusTotal son analizados por 16 motores antivirus
diferentes.

Este número se verá aumentado a corto plazo, ya que se está trabajando
en la integración de nuevos motores antivirus que han solicitado
participar en VirusTotal, como son los casos de Avast!, AVG, mks_vir y
Hauri, encontrándonos abiertos a nuevas incorporaciones.

Los usuarios también cuentan ahora con un nuevo sistema para proceder
al análisis de archivos mediante un formulario que muestra los
resultados directamente en la página web, sin necesidad de introducir
su dirección de correo electrónico, disponible en la parte superior
del sitio http://www.virustotal.com

También se encuentra disponible el sistema recomendado que consiste
en enviar la muestra sospechosa enviándola adjunta en un mensaje de
correo electrónico a la dirección analiza@virustotal.com con el asunto
ANALIZA, recibiendo por e-mail los resultados.

Otra de las novedades es el sistema de distribución de muestras
infectadas a los laboratorios antivirus participantes en VirusTotal.
Con esta función, los laboratorios antivirus pueden recibir en tiempo
real aquellas muestras infectadas que su solución no detecta y sí
son detectadas por alguno de los otros motores integrados en
VirusTotal.

Mediante este sistema, los usuarios que envíen muestras participan de
forma activa en la protección global, ya que ayudan a que todos los
antivirus detecten los nuevos virus. Adicionalmente los usuarios de
antivirus que participan en VirusTotal tienen la garantía de que su
solución puede recibir los nuevos especímenes en tiempo real y por
tanto ofrecer una mayor y mejor protección.

Para garantizar la privacidad de los usuarios que envíen información
sensible a analizar, como por ejemplo documentos de Office, existe
una opción que garantiza que dichos archivos, en caso de estar
infectados, no serán incluidos en el sistema de distribución. No
obstante, Hispasec recomienda que esta opción sólo sea utilizada en
caso de estricta necesidad, para que no penalice la distribución de
muestras infectadas. Igualmente Hispasec velará por el buen uso
de dicha opción, pudiendo ser retirada si se detecta un uso no
adecuado de la misma.

El sistema de distribución de muestras está siendo una importante
ayuda para las casas antivirus participantes en VirusTotal, ya que la
media actual es de 50 muestras infectadas diferentes no detectadas
por motor antivirus y día.

El volumen es tal que son varios los laboratorios antivirus que se
han visto desbordados. En estos momentos sólo 6 laboratorios antivirus
están recibiendo las muestras, y esperamos que en breve el resto se
incorporen al sistema de distribución (es totalmente gratuito, como
el resto de servicios de VirusTotal).

En definitiva, se trata de democratizar el acceso a las muestras
infectadas, para que todos los antivirus tengan la posibilidad de
ofrecer la mejor protección a sus usuarios. No nos parece de recibo
que un usuario se infecte porque su antivirus no ha tenido opción de
conseguir una muestra infectada con anterioridad, tal y como sucede
ahora.

Las diferencias entre soluciones antivirus no deberían marcarse por
la guerra de números (yo tengo más firmas de virus que tú), sino por
otras muchas características que actualmente no se tienen en cuenta
o son evaluadas en un segundo plano, como rendimiento, fiabilidad,
detección genérica sin firmas, recursos que consume, etc.


Ausencias

Los asiduos al servicio echarán en falta los motores de McAfee y
TrendMicro en los reportes de VirusTotal. Estos motores han sido
retirados de forma cautelar tras recibir notificaciones de las
centrales de NAi y TrendMicro donde decían no haber recibido
explicación alguna sobre su uso y fines que perseguía VirusTotal.

Antes de proceder a la publicación de VirusTotal, y antes de cualquier
nueva incorporación, Hispasec realiza una presentación del servicio.
Por razones geográficas y por mantener un trato más cercano, en un
principio se notificó a personal que las casas antivirus mantienen
en España (oficinas o distribuidores oficiales).

Parece ser que en estos dos casos, NAi/McAfee y TrendMicro, la
comunicación entre el personal de España y las centrales fue
insuficiente, cuando no nula. En ambos casos, nada más recibir el
comunicado de las centrales, Hispasec decidió en primer lugar
retirar sus motores como medida cautelar, y posteriormente a
facilitar la información requerida.

En estos momentos la incorporación de ambos motores depende de sus
respectivas centrales, que deberán dar la pertinente autorización
por escrito. Esperamos que por el bien de la comunidad, y de sus
propios clientes (ya que sus laboratorios no reciben los virus que
no detectan al no estar en el sistema de distribución de muestras),
puedan estar disponibles de nuevo en breve.

No obstante, esta situación no afecta de forma alguna a los tiempos
de reacción antivirus que solemos incluir en las noticias de
una-al-día en relación a nuevos virus y gusanos. Ya que en el
laboratorio de Hispasec seguimos evaluando a todos los antivirus,
incluido McAfee y TrendMicro.

Actualmente las conversaciones con todas las casas antivirus se
realizan directamente con las centrales.


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (01/06/2004) El mayor antivirus público de Internet
http://www.hispasec.com/unaaldia/2046

una-al-dia (05/07/2004) Incorporación de ClamAV y mejoras en VirusTotal
http://www.hispasec.com/unaaldia/2080