Detección de virus On-line: prueba real

Si tienes un ordenador en casa necesitas un antivirus, da igual la plataforma. Algunos sistemas operativos lo necesitan más que otros pero aunque creas que tu máquina es inmune, con ella puedes infectar otras en el momento en que accedes a una red. El hecho de tener un antivirus instalado brinda un alto nivel de protección, pero a veces se necesita algo más.

Te puedes encontrar en ocasiones con archivos sospechosos y tu antivirus, o no detecta nada, o da un falso positivo. La mejor forma de aumentar el nivel de confianza es someter el fichero en cuestión a varias pruebas y como no se puede tener una batería de estos programas en una máquina, lo mejor es hacerlo en línea.

En diversos post de Genbeta se ha tratado este tema, algunos ya muy distantes en el tiempo. Por eso vamos a recordar lo que se dijo, actualizarlo y dar un paso más… probar los motores de análisis con un virus real. El test se ha realizado con un fichero comprimido, que contiene uno infectado, sobre tres motores múltiples: Virscan, Filterbit y Jotti.

Los tres portales permiten analizar un archivo sospechoso, pero no proporcionan herramientas para su eliminación. Suministran los identificadores únicos MD5 y SHA1, muy útiles si deseas la certeza completa ante un positivo, ya que hay bases de datos con esta información en Internet y en particular en las páginas web de los fabricantes de antivirus.

Como novedad respecto de los análisis que se hiceron en Genbeta en su día, el tamaño máximo del fichero a analizar es de 20MB frente a los 10MB anteriores, tanto para archivos individuales como varios dentro de un comprimido con Zip o Rar. Destacable en los tres casos también la sencillez del proceso completamente intuitivo.

Virscan

Cuando se accede al sitio, éste selecciona de forma automática el idioma por defecto que tengas configurado en el navegador entre 18 posibles. Dispone además de un control desplegable para seleccionar un idioma alternativo si el tuyo no está en la lista y de una barra que refleja la carga del servidor.

La información que ofrece la página es completa y detallada, advirtiendo de la gratuidad del servicio y de que éste no sustituye a un antivirus convencional, ya que sólo detecta y no repara. A continuación, ofrece una tabla donde consta el nombre del motor, país de origen, versión, fecha del fichero de firmas de virus y última actualización del motor en sí. El test consiste en un análisis con 36 motores antivirus, una prueba bastante completa.

En la parte superior central dispone de una caja de texto y dos botones: Examinar… y Subir, así como información de las condiciones del servicio La caja no permite introducir información, aunque al marcar con el ratón sobre ella abre el cuadro de diálogo Carga de archivos directamente, igual que si hubiéramos pulsado sobre Examinar.

Una vez localizado el fichero sospechoso, accionamos Subir. Eso es todo, el resto del proceso es automático. En primer lugar aparece un cuadro donde informa de la carga como tal, con indicación numérica y visual de la misma. Si otro usuario hubiera realizado anteriormente la prueba sobre el mismo archivo te informará en detalle sobre ello, facilitando fecha y hora, así como el número de actualizaciones que han tenido lugar desde entonces. En este caso puedes optar por ver el reporte ya almacenado o repetir la prueba.

Si el fichero no tiene la extensión correcta, lo detecta igualmente. En una segunda prueba he renombrado la extensión Zip por otra de un archivo gráfico y ha seguido detectando la compresión Zip indicando además la versión exacta de dicho compresor necesaria para descomprimir. Esto es muy importante, ya que no filtra por extensión, sino después de leer realmente el archivo.

La información final se agrupa en dos áreas. Una con los datos del fichero que hemos cargado, que contempla nombre, tamaño en bytes, tipo de archivo y los correspondientes identificadores hash MD5 y SHA1. En el apartado Resultados, ofrece en detalle, en un positivo, cuántos motores lo han considerado como tal, el tipo de virus detectado y el tiempo que ha empleado cada motor. Esta tabla puede ordenarse por orden alfabético respecto de todos los parámetros, directa o inversamente.

La valoración del servicio es muy positiva. El número de motores antivirus es más que razonable, en nuestra prueba el 56% detectó el problema, y 23 sobre 36 son razones de sobra para saber que estamos ante un peligro real. Avisa de sospechas originadas en análisis heurístico . La información es clara y exhaustiva. Dispone, por último, de un formulario de informe de errores y correo de contacto. Sólo comentar como detalle que en la petición de donación dice “Ayudá” (con acento en la última “a”) y en un golpe de vista rápido puedes leer “Ayuda”, (traducción argentina).

Enlace | VirScan

Filterbit

Con un interface en inglés como único idioma posible, el aspecto de este portal es bastante espartano. Tres opciones y un “About” contiene el único menú. Información sobre la carga del servidor y una grande y destacada caja de texto con la misma funcionalidad que vimos en el portal anterior. La ventaja en este caso, es que si la trayectoria del fichero a escanear es larga, podemos verla entera.

Bajo la caja está la información sobre la restricción de tamaño y un generoso botón negro para subir el fichero sospechoso: Send File. La información sobre el proceso de carga tan minimalista como el resto: una simple rueda giratoria. Esta simplicidad no es mala, si tienes una pantalla formato cine, te ahorras unos cuantos scroll.

Es bastante rápido en el diagnóstico, ya que emplea doce motores de alguno de los fabricantes más comunes del mercado. Tampoco ha fallado al cambiar la extensión, ha detectado correctamente la compresión y al ser ésta la segunda prueba, los resultados los ha ofrecido desde caché, aunque permite repetir la prueba mostrando otro botón: Rescan.

Respecto de la información ofrecida, es algo menos escueta que el resto de la web. Primero, información básica del fichero: nombre y fecha de carga del primer test realizado, también de la última y tiempo empleado. En el siguiente grupo, motores y resultado individual de consumo de tiempo. Fecha del fichero de firmas y si hay o no positivo. De haberlo, muestra el nombre del virus. También el porcentaje de positivos: 66,7% en este caso.

En un último grupo tenemos información sobre la naturaleza del fichero, “posible Zip” consta tras el intento de engaño. Ofrece los hash MD5 y SHA1 de forma destacada y el tamaño en bytes. Su gratuidad y rapidez, contemplada esta tanto en el tiempo de carga de la página como en el proceso de detección en sí, han sido los motivos para incluirlo en esta prueba.

Enlace | Filterbit

Jotti

Este portal agrupa la información de forma inequívoca al situar sobre un fuerte y agresivo color azul dos áreas blancas superiores y otra con información del servicio. La superior izquierda permite seleccionar 14 idiomas en el caso de no detectar correctamente el tuyo. Una caja pequeña con la misma funcionalidad ya vista del boton Examinar. El aspecto del botón Enviar no sigue el patrón del anterior, estando visualmente en un segundo plano. Muestra también información “solo texto” de la disponibilidad del servidor.

La caja derecha agrupa los logotipos de los 19 motores y bajo éstos una barra de progreso que indica la saturación del servidor. Respecto de la caja inferior, la traducción es un tanto sui géneris. Informa de la gratuidad del servicio, del tamaño máximo del fichero y de un aspecto relevante: la versión Linux de los motores empleados. Advierte por ello de la diferencia casi segura que habrá en la detección respecto de los homólogos para Windows.

En el último párrafo advierte que los ficheros subidos quedarán a disposición de las compañías antivirus para su análisis y de la no menos importante política de protección de datos, que está en inglés junto con las FAQ en un sencillo menú de texto. Desde éste, se puede acceder a la búsqueda de un fichero concreto mediante los hash MD5 y SHA1. Esta sección no está bien resuelta, al introducir el MD5 o SHA1 obtenido en las pruebas anteriores, la página se queda en ese azul especial.

Al cargar el archivo, junto a “favor esperar“ disponemos de una barra de progreso. La prueba sobre los 19 motores es rapidísima, tanto en el primer análisis como en mostrar la caché en el segundo intento. Tampoco ha funcionado el engaño de cambiar la extensión. Las cajas blancas anteriores expanden o colapsan ad hoc.

En la parte superior izquierda tenemos el nombre del fichero, número de positivos y la fecha con hora, minuto y segundo. Dos botones, uno para repetir la prueba y otro para realizar una nueva. En la derecha, tamaño, tipo, los hash habituales e información sobre el empaquetado del fichero. La inferior queda para los resultados, presentando logotipo del motor, una fecha que se supone es la del fichero de firmas y el resultado.

A pesar del aspecto festivalero de la aplicación, es sencilla, rápida y minimalista. Digna de tener en cuenta como opinión alternativa y la certeza de que todo se ejecuta bajo GNU/Linux. El proyecto, iniciado en 2004, es el más joven de los analizados.

Enlace | Jotti

Los portales comentados no son únicos, sino una muestra de los mejores. El primero obviamente es el más profesional y también el más lento por la batería de pruebas que incluye. Utiliza el que te aporte más confianza y ante una sospecha más que razonable, emplea varios al gusto. Lo que nunca debes hacer, salvo que tus conocimientos lo permitan, es repetir este experimento, puedes dañar tu sistema.

En Genbeta | VirSCAN, escaneando online nuestros archivos sospechosos
Filterbit, escanea online archivos sospechosos de tener virus
Online malware scan, escaneando online nuestros archivos sospechosos a través de 20 antivirus

Portada de Genbeta