lunes, 25 de junio de 2007

El antivirus NOD32

charlie_mtp [neyquesada@infomed.sld.cu]

Me alegro que ZorphDark haya tocado en la edición 18 de la revista el asunto de la seguridad. Aprovechando que le dio una pequeña introducción al tema del software y sólo se adentró en el hardware (que para ser sinceros nunca me había puesto a pensar en ello, y está muy bueno conocerlo), quiero tener la oportunidad para presentar convenientemente este artículo y continuar con el tema de la seguridad (creo que es un tema muy hablado ya, pero ideal para abrir un debate -si no está- en nuestro nuevo foro), pero esta vez orientado hacia la parte del software, específicamente hacia el antivirus NOD32.

Es seguro que muchos de nosotros tengamos este antivirus, debido a la popularidad que se ha ganado en los últimos tiempos (además de que en nuestra red nacional no nos dan más opciones); pero de todas las características de este antivirus seguro que la más comentada es la poca utilización de recursos del sistema. Y es verdad, pero eso lo veremos más adelante en una comparación con otros antivirus como el Kaspersky (que para mí es el mejor, pero por desgracia mi máquina no es "de raza", o sea, es "sata" -calificativo que le doy a las máquinas que no son de marca y que tienen pocos recursos-). Nada, que me gustaría más tener una buena máquina o al menos una actualización diaria del Kaspersky, pero por desgracia no es así; además, que se dificulta sin Internet encontrar una llave con la que dure bastante tiempo su activación. Para ser sincero, creo que Kaspersky es el mejor antivirus y así sale en casi todos los sitios, pero como dije anteriormente... "eso es comida para una máquina de raza".

En fin, para no agobiarlos, vamos a hablar por fin de lo que trata el artículo en sí, pero creo que antes de adentrarnos en las características y aspectos del antivirus, deberíamos ver un poco de historia.

NOD32 surgió a principios de la década del 1990, cuando los virus de computadoras se estaban poniendo de moda y apuntaban al sector "buteable" (como lo decimos a diario) del disco duro. Aprovechándose su creador de que por aquella época estaba siendo transmitida en Europa por casi todas las cadenas de televisión la serie Nemocnica na Okraji Mesta u "Hospital at the Edge of the City” (muy popular por entonces), utilizó un juego de palabras para lanzar su nuevo antivirus; de esta forma lo llamó "Hospital at the Edge of the Disk", o "Nemocnica na Okraji Disku", dándole las iniciales NOD. En sus inicios se pronunciaba como letras independientes (sonaría como: "ene.o.de" o "en.ou.di" [en inglés]). De un tiempo para acá, en el mundo se le empezó a llamar más sencillo: “NOD”.

La versión actual del NOD32 es muy diferente a como era originalmente. Varias generaciones del programa se han desarrollado como una respuesta al rápido cambio en la complejidad de los virus. Como lo conocemos hoy en día trabaja en sistemas de 32 y 64 bit, y precisamente es eso lo que le hizo cambiar de nombre al pasar de la plataforma de 16 bit a la de 32 bit; de esta forma pasó de NOD-ICE a NOD32, como lo conocemos.

No podemos pasar por alto que este antivirus pertenece a Eset, que es una compañía de seguridad informática establecida en Bratislava, Eslovaquia, fundada en 1992 como resultado de la fusión de dos compañías privadas.

El antivirus trabaja bajo sistemas operativos como Windows, Linux, FreeBSD y Novell, y tiene versiones para estaciones de trabajo, servidores de archivos, servidores de correo electrónico y una herramienta de administración remota.

Para la detección en tiempo real de nuevas amenazas o virus nuevos aún no catalogados, NOD32 utiliza un motor unificado llamado ThreatSense® (seguro muchos de nosotros hemos leído algo al respecto en alguna herramienta del antivirus, y no es más que la heurística, de la que hablo al final), analizando el código de ejecución en busca de las intenciones malignas de alguna aplicación malware (definición de una variedad de software o programas de códigos hostiles e intrusivos). Esto permite el análisis del código binario en tiempo de ejecución para determinar el comportamiento sospechoso propio de malware y detener la amenaza antes que infecte el ordenador.

Un pequeño aparte se le debe hacer a los módulos, no sólo por su importancia dentro del programa, sino para la aclaración de algunos usuarios. Personalmente, antes no comprendía la funcionalidad de todos ellos.

Módulos

  • AMON (Monitor Antivirus - Antivirus MONitor): Es el monitor del sistema de archivos. Es el módulo residente en memoria que funciona durante el acceso, encargado de revisar automáticamente en busca de virus en cada archivo antes de que sea abierto, movido, copiado o eliminado.
  • DMON (Monitor de Documentos - Document MONitor'): Es el módulo que protege los documentos. Revisa todo tipo de documentos (de Office), incluyendo al Internet Explorer, utilizando el API propiedad de Microsoft.
  • EMON (Monitor de Emails - Emails MONitor): Es el módulo de e-mail. Revisa el correo electrónico que se envía y se recibe a través de la interfaz MAPI o MUA compatibles con MS-Exchange y MS-Outlook.
  • IMON (Monitor de Internet - Internet MONitor): Es el monitor de Internet. Revisa en busca de virus y otro tipo de amenazas en las páginas web que visitamos. Analiza el tráfico a nivel de WinSock (sockets de Windows) y adicionalmente verifica las descargas a través del protocolo POP3, IMAP. Puede configurarse para revisar diferentes puertos TCP.
  • NOD32 Scanner: Nos permite hacer varios tipos de análisis bajo pedido: revisar disquetes, discos duros, el sistema en profundidad, etc... Puede ser también configurado para realizar análisis programados por nosotros de manera automática.

NOD32 lleva una gran ventaja frente a otros productos antivirus (según Virus Bolletin, su eficacia es del 100%). En comparación con otros productos antivirus, su bajo consumo de recursos lo hace mucho más rápido que cualquier programa de la competencia y sus análisis antivirus son muy rápidos.

NOD32 está escrito en su mayor parte en código ensamblador, lo cual contribuye a su bajo uso de los recursos del sistema y su alta velocidad de escaneo. Esto, en otras palabras, significa que el NOD32 puede fácilmente procesar más de 23 MB por segundo cuando está escaneando en un ordenador modesto. Con todos sus módulos en tiempo real activados, usa menos de 20 MB de memoria en total, pero la RAM usada es a menudo sólo la tercera parte de esto.

Creo que es hora de hacer algunas comparaciones (no las he hecho yo; sólo me he limitado a investigar) para que vayan sacando sus conclusiones. Comparemos el uso de recursos. La gráfica a continuación no sólo se refiere al uso de memoria RAM, sino también al espacio que ocupa en el disco duro.

Consumo de Recursos de los Antivirus

Creo que son innecesarios los comentarios con respecto a esta gráfica.

Antes de continuar debo aclarar algunas cosas. Muchos de nosotros nos limitamos a instalar el antivirus y actualizarlo a diario cuando nos conectamos o nos traen la actualización, y esto está bastante mal. En lo personal, me quejé dos o tres veces de que cogía virus con el NOD32 (cosa que puede suceder, no es menos cierto) y tenía que formatear cuando no encontraba más remedio (Krlo conoce por todo lo que he pasado el mes anterior en cuanto a virus), pero es que en ocasiones el desconocimiento nos lleva a cometer errores.

No quiero caer en un manual de instalación para NOD32, pero creo que esto debe saberse para un mejor funcionamiento del antivirus cuando se instala:

1. Lo primero que debemos hacer es desinstalar el antivirus que teníamos anteriormente (no importa si fuera una versión anterior del NOD32, la misma que vamos a instalar u otro antivirus):
     a) Cerrar primero el modulo residente del antivirus.
     b) Desinstala el parche NOD32.FiX.v2.2-nsane.
     c) Finalmente desinstalar el antivirus.
     d) Al terminar la desinstalación deberás reiniciar el equipo. La desinstalación no borra completamente el contenido de la carpeta donde se instaló el programa (Por defecto %ProgramFiles%\ESET), deberás hacerlo manualmente. En particular no se borra %ProgramFiles%\ESET\Install, donde al ejecutar setup.exe reinstalarás el programa.

2. Ejecuta el .exe (es un archivo comprimido ejecutable)
     a) Indica la carpeta donde se descomprimirá (recomendado no cambiarla)
     b) Tipo de Instalación (Típica / Avanzada / Experta):  Avanzada.
     c) (x) "Acepto" el contrato de licencia.
     d) (x) Desconozco si es usado un servidor Proxy. Usar las mismas características establecidas para Internet Explorer.
     e) NO activar el envío de nuevos virus al laboratorio de Eset.
     f) (x) Activar la detección de aplicaciones potencialmente indeseables.
     g) Modulo AMON:  (x) Si, deseo activar automáticamente el monitor del sistema de archivos.
     h) (x) Habilitar la protección de IMON para el correo POP. Agregar notificación a los mensajes: (x) Sólo a los mensajes infectados.
     i) ATENCIÓN, ES FUNDAMENTAL NO Reiniciar ahora; (x) Reiniciar más tarde.

3. Instalaremos ahora el crack.
     a) Ejecuta NOD32.FiX.v2.2-nsane.exe (Comprueba que la carpeta donde se instalará es la correcta -donde mismo instalamos el antivirus-
     b) AHORA REINICIA EL ORDENADOR.

4. Luego vamos a configurar el NOD32 para optimizar su funcionamiento. Por defecto tiene la tarea de actualizarse cada 1 hora -característica que no necesitamos-, por eso vamos a mejorar las tareas programadas por defecto.
     a) NOTA: NO DESACTIVES NINGUNA TAREA CON EL NOMBRE "NOD32 FIX"
     b) Vamos a activar y desactivar las siguientes tareas:
          i) ( ) Actualización automática de rutina (cada hora)
          ii) ( ) Actualizar automáticamente después de conectar por módem (cuando se establezca conexión a Internet/VPN con módem RTB, telefónico, máximo cada 1 horas)
          iii) (  ) Actualizar automáticamente después del registro de usuario (cuando te registres)
          iv) (x) Analizar los archivos ejecutados durante el inicio del sistema (cuando se actualice la base de firmas de virus; máximo: una vez cada 24 horas).
     c) Vamos a añadir una tarea para que la firma de virus se actualice cada 24 horas. Lo vamos a hacer de dos formas, para los que lo actualizan on-line y para los que le llevan los ficheros de la actualización.
     d) Pulsar el botón Agregar de Tareas programadas.
     e) Seleccionar la tarea a programar: “NOD32 Update - Actualización del sistema NOD 32".
     f) Escriba el nombre de la tarea: (Por ejemplo: "Mi actualización diaria")
     g) Para los que actualiza on-line:
     h) (x) Cuando se cumpla una condición.
     i) Se detecte conexión a Internet / VPN.
     j) Si no es posible completar en ese momento: (x) Esperar hasta la próxima activación programada.
     k) (x) Mostrar cuadro de dialogo para opciones especiales de la configuración de la tarea.
     l) Seleccione el perfil para usar en la actualización: "Mi perfil".
     m) Para los que actualizan a través de una flash o cualquier otro soporte de información.
     n) Lo primero -y está demás decirlo- es copiar y sobrescribir las bases que están en la carpeta ESET.
     o) (x) Cuando se cumpla una condición.
     p) Se inicie el ordenador
     q) Si no es posible completar en ese momento: (x) Esperar hasta la próxima activación programada.
     r) (x) Mostrar cuadro de diálogo para opciones especiales de la configuración de la tarea.
     s) Seleccione el perfil para usar en la actualización: "Mi perfil"

5. Ahora vamos a configurar lo más importante. Cuando lo instalamos, por defecto no detecta archivos comprimidos, archivos comprimidos de auto extracción y otros en ninguno de los análisis. Es recomendable que lo habilite en todos, pero eso se lo dejo a su juicio.
     a) Abrir el NOD32 Control Center.
     b) Módulos de protección » NOD32 Scanner; y en la ventana derecha botón: "NOD32 Scanner"
     c) Pestaña Perfiles » Selector de Perfiles » (Repetir lo que sigue para los seis perfiles disponibles:)
          i) Pestaña Configuración » Objetos a verificar:
          ii) (x) Archivos comprimidos.
          iii) (x) Archivos comprimidos de autoextracción
          iv) (x) Archivos de correo.
          v) Cuando cambies en el Selector de perfiles, te advertirá: ("El perfil... ha sido modificado. ¿Desea guardar los cambios?: SI - Guardar ("El perfil ha sido guardado")

Nota:
Donde aparece () es para que la desmarques o no la marques.
Donde aparece (x) es para que la marques y ya está marcada la dejes así.
Una última cosa: la configuración está basada en la versión es español. Espero que los que la tengan en inglés no presenten problemas. En caso contrario tenemos el foro.

Terminada esta explicación, creo que sólo falta por añadir algo acerca de uso por el momento. Cuando estamos escaneando la máquina, puede mostrarnos líneas negras, azul y rojas (me refiero a líneas de texto). Pues bien, este es el significado del análisis de ficheros:
Línea negra = sin problemas
Línea azul = advertencia: fichero que no se pudo abrir por ser usado por el sistema o tener                      password (esta dificultad no aparece en antivirus como el Kaspersky)
Línea roja = ¡VIRUS DETECTADO!

Para desactivar temporalmente los módulos AMON, DMON, IMON:
- Abrir el "NOD32 Control Center"
- Threat Protection Modules » (Selecciona el módulo: AMON, DMON, IMON)
- Desactiva: ( )... enabled...

Para que no vuelva a iniciarse IMON, abre M ódulos de análisis » IMON » Quit
(Deberás reiniciar el equipo y cuando arranque ya no se cargará el módulo IMON)

Para comprobar la fecha de la base de firmas de virus ve a herramientas del sistema NOD32 » Información » Fecha.

Espero que este artículo haya ayudado a muchos, ya que hubiera deseado tiempo atrás no lidiar con una máquina repleta de virus por desconocimiento. Espero que les sirva a ustedes, pues les diré que por no habilitar las características que más arriba se explican, tengo una amistad (que la verdad no está muy adentrada en el tema de las computadoras) que tenia 13 virus -sin mentirles. Por no habilitar el antivirus como debía, cuando llegó a hacerlo, el NOD32 los detectó todos. Creo que éste es un problema que debería venir solucionado desde la instalación y no dejar a los usuarios hacerse cargo de él, debido a que no todos tenemos los conocimientos necesarios. Otra cosa más, en lo personal yo también habilité la opción de Detectar aplicaciones potencialmente peligrosas, pero teniendo presente que, habilitando esto, todos nosotros que tengamos programas como ghostMail, algunos cracks, y otros tanto de ese tipo que el NOD32 los va a ver probablemente como virus; se lo dejo a su juicio.

Ahora creo que estamos es condiciones de valorar al NOD32 un poco más y ver el nuevo resultado de este antivirus. También creo que podemos ver ahora el resultado en varias pruebas frente a otros programas antivirus, algunos conocidos por nosotros y otros no tanto.

Pruebas superadas por los Antivirus

Virus no detectados

Rendimiento en el análisis de archivos

Rendimiento en el análisis de archivos ejecutables

No quisiera cerrar este artículo sin antes tocar el tema de la heurística. Es posible que algunos hayan oído hablar de ella; pues bien, consiste en técnicas de reconocimiento inteligente de códigos maliciosos (virus, gusanos, caballos de Troya, etc.). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros. Su importancia radica en el hecho de ser la única defensa posible frente a la aparición de nuevos códigos maliciosos de los cuales no se posean firmas.

Una de las técnicas nombradas arriba es la de desempaquetamiento, que tiene como objetivo analizar el código real del programa, y no el empaquetado, debido a que los programadores de códigos maliciosos suelen usar empaquetadores de archivos con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Empaquetadores como UPX son ampliamente utilizados para esto.

La Heurística es un aspecto muy difícil de probar en los productos antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo determinado. En ese lapso se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los productos antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus sólo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas (esto es a lo que se conoce como evaluaciones retrospectivas). Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.

Para saber más...



Artículos relacionados


No hay comentarios: