Mitos sobre los antivirus

¿Los virus no existen?

Los virus existen, pero son muy pocos comparado con los programas troyanos difundidos hoy día.

Información de referencia

¿Cuántos nuevos programas malintencionados, sobre todo los troyanos, aparecen al promedio cada mes?

Hasta algunos especialistas de IT están seguros de que el número de los programas malintencionados creados cada día es acerca de cien. Pero en realidad, a los laboratorios de virus llegan hasta veinticinco millones de las muestras potencialmente malintencionadas al mes.

Gráfico de recepción de las muestras en el laboratorio Doctor Web en marzo del año 2015.

No todo lo que llega son programas malintencionados. Y, por supuesto, algunas muestras se repiten. Pero todas deben ser procesadas por nuestros especialistas.

No es posible procesar varios millones de muestras al mes manualmente.

La mayoría de las muestras se procesa por los robots especiales. Los analistas de virus investigan solo las muestras difíciles que no pueden ser procesadas automáticamente. La base de virus Dr.Web crece cada hora.

Gráfico de crecimiento del número de entradas en la base de virus de Dr.Web

¿Las empresas de antivirus mismas crean los programas malintencionados?

Muchos usuarios están convencidos de que los mismos desarrolladores de antivirus crean los virus, porque pueden sacar provecho de eso — si no hay virus, los usuarios no comprarán antivirus.

¡¡¡Es nuestro mito favorito!!!:))

Y el mito más popular entre todos los mitos de antivirus. Cada mes alguien lo menciona a través del formulario de feedback.

El mito surge de forma lógica del “conocimiento” de que 1) el número de los programas malintencionados creados en un solo día no es grande, 2) los pueden crear varios especialistas que 3) por supuesto, trabajan en las empresas antivirus.

• El número de programas nocivos desarrollados por los malintencionados es tan grande que los laboratorios de virus tienen que trabajar en tres turnos 7 días a la semana. Asimismo, no tiene ningún sentido crear más programas nocivos, porque hay muy poco tiempo para analizar lo que llega desde fuera.
• Crear un programa nocivo para un especialista de seguridad informática es una tarea que no tiene ningún sentido, sobre todo porque si la detección de este programa troyano se añade a las bases del antivirus desarrollado por el mismo, los usuarios ya estarán protegidos contra esta amenaza, y un rato más tarde este troyano aparecerá en las bases de datos de otros programas antivirus. ¿Para qué perder el tiempo en vano?
• La creación del software malintencionado es un delito penal. Si la policía se entera de que alguien desarrolla los virus, esta persona corre el riesgo de ser metido entre rejas. Y sin falta todos se enterarán de eso – los analistas de virus tienen bastantes detractores.
• Los vendedores de antivirus no solamente no crean los virus, tampoco envían los archivos malintencionados ya conocidos para realizar pruebas, lo que siempre nos piden los clientes que desean implementar el nuevo software y los periodistas que desean realizar una comparación. Si en algún momento alguien se entera de que una empresa o un empleado de la misma se dedicaban a la creación o simplemente a la difusión del software malintencionado, esta información acabará con el negocio de la empresa.
• Muchos fabricantes de los medios de la protección antivirus — entre ellos, la empresa Doctor Web, — no contratan a los que se dedicaba a hackear en alguna forma. Una persona que en algún momento se dedicó a la creación de virus, tiene un nivel de moral bajo.

¿Quién en realidad crea los programas malintencionados?

Al principio de la época informática, los programas malintencionados en realidad se creaban mayoritariamente para la expresión propia. Ahora también a veces el software se crea por los solitarios que desean ser famosos, pero estos no representan mucho peligro.

Los programas malintencionados de hoy no se crean solo por profesionales creadores de virus. El desarrollo de los mismos es una parte de un negocio criminal bien organizado. Los grupos criminales se componen por:

• Organizadores — personas que organizan y administran el proceso de creación y del uso del software malintencionado
• Desarrolladores del software malintencionado
• Testers del software creado
• Investigadores – especialistas de búsqueda de vulnerabilidades de sistemas operativos y del software de aplicación que pueden ser usadas para el uso criminal
• Propagadores del software malintencionado
• Administradores que aseguran el trabajo seguro distribuido dentro de la sociedad criminal y la administración de botnets
• Web masters que crean los sitios web para difundir el software malintencionado
• Managers que venden los programas malintencionados (algunos troyanos se crean para la venta o para el alquiler)
• Organizadores de ataques DDoS
• Creadores de recursos de publicidad poco concienzudos y de programas de socios que sacan beneficio de troyanos de publicidad

Gracias a la buena organización de los grupos criminales que se dedican al desarrollo y difusión de los programas malintencionados, la producción de los mismos ya es un proceso organizado. Eso causó el crecimiento rápido de los programas malintencionados creados por los malintencionados e influyó en el número de firmas diarias que se añaden a las bases de virus.

El número de programas fabricados y lanzados por un grupo en un solo día, puede llegar hasta centenares de muestras al día

y ninguna de ellas durante un rato, una vez lanzada, se detectará por el software antivirus que usan las víctimas. En adelante les explicamos el porqué.

¿Para qué se crean los programas malintencionados?

Para esta pregunta no hay que crear ilusiones (es decir, mitos):
el software malintencionado se crea solo para sacar beneficio.

El que está involucrado en el proceso de creación, difusión y mantenimiento de la infraestructura para el funcionamiento de un troyano creado para robar algo es un delincuente.

Los troyanos de hoy roban tanto la información como los activos materiales de usuarios y empresas. Para la reventa posterior sirve todo lo robado:

• Nombres de usuario y contraseñas — para sistemas de banca en línea y de pagos electrónicos, cuentas en las redes sociales etc.
• Dinero virtual (por ejemplo, bitcoins)
• Mensajes de correo electrónico y direcciones de la libreta de contactos
• Fotos — usando las mismas, se puede chantajear a la víctima o hacerle un daño moral al publicar las imágenes en Internet
• Cualquier tipo de información técnica sobre el PC de la víctima
• Cuentas de juegos y artefactos

¿Qué porcentaje de los programas malintencionados debe detectar el antivirus en el momento de penetración de los mismos?

Un mito diciendo que el antivirus debe detectar todos los programas malintencionados al penetrar los mismos es muy popular. Lo que pasa es que es simplemente imposible. Tampoco es posible comprar un remedio contra todas las enfermedades a la vez. No existe una panacea, y hay que conformarse con eso, aunque la gente sueña de la misma durante siglos.

Este mito existe porque la mayoría de los usuarios no sabe cómo está organizado el negocio criminal de creadores de virus.

El proceso principal de la creación de un “buen” troyano (que el usuario y su antivirus no notan) — es el proceso de realizar las pruebas del mismo para que la mayoría de los antivirus más populares no lo detecten.

Solo un troyano que no puede ser detectado por nada puede ser lanzado o se implementa en el PC de la víctima si es un ataque objetivo.

Resulta que existe una delta temporal entre el lanzamiento de un troyano por los malintencionados, la llegada de la muestra del mismo al laboratorio de virus para el análisis y la creación de un antídoto. Pero eso tiene que ver solo con los troyanos realmente complicados, que tienen “éxito”. La mayoría de los programas malintencionados ordinarios se detectan por firmas, así como por las tecnologías heurísticas y otras tecnologías sin uso de firmas del núcleo antivirus de Dr.Web.

¿Siempre se nota el funcionamiento de un virus en un equipo?

¡Este mito es uno de los más peligrosos!

Surgió en la época de los primeros virus, la mayoría de los cuales fueron destructivos (dañaban algo, por ejemplo, borraban toda la información de un PC), o funcionaban activamente en el equipo infectado — por ejemplo, realizaban envíos de mensajes con su copia, lo que hacía más lento el funcionamiento del sistema y se notaba.

Pero hoy día el objetivo de los malintencionados es su dinero y sus datos. Para robar más, hay que hacerlo sin que nadie lo note.

A propósito,

1. Algunos programas malintencionados, una vez infectado, corrigen las vulnerabilidades del sistema a través de las cuales pueden penetrar otros programas malintencionados, y limpian el sistema de programas malintencionados de competición que ya habían penetrado en el mismo.
2. Algunos troyanos “matan” el antivirus (finalizan los procesos correspondientes en el sistema), y luego colocan el icono del antivirus en el Área de notificación de la Barra de tareas de Windows, para que el usuario piense que el antivirus sigue funcionando y no se percate de nada. En los recursos de este programa malintencionado están previstos los iconos de todas las soluciones antivirus más populares, y el troyano “listo” seleccione el instalado en el PC atacado. Por supuesto, este icono no reacciona a clics del ratón y otros intentos de activarlo, y parece que el antivirus esté “colgado”. En realidad, el equipo se queda sin protección. En Dr.Web fue realizado un sistema especial de autoprotección de ataques similares.

Por eso hay que saber que los creadores de virus ya entendieron hace mucho que el mejor troyano es un troyano que los usuarios no noten.

Pero el mito sigue siendo popular como antes.
Y la opinión de que es verdadero causa las consecuencias muy tristes. Las personas que siguen este mito no usan un antivirus nunca, o no lo usan según las reglas establecidas de uso de un antivirus — no realizan escaneos con regularidad.

A propósito, ¿cuándo Vd. escaneó el equipo por un antivirus por última vez?

¿Un antivirus detecta los programas malintencionados solo por firmas?

Este mito existe desde los primeros años de aparición de loa antivirus. En aquella época, hace más de 20 años, realmente fue así.

Los antivirus solo de firmas, es decir, los que detectan los programas malintencionados por las firmas en las bases de virus, dejaron de existir en los años 90 del siglo pasado,

cuando aparecieron los virus polimórficos, que se cambian cada vez al iniciar y por lo tanto no se detectan por firmas (a propósito, es lo que causó la aparición del antivirus ruso Dr.Web).

Si hoy también los antivirus pudieran detectar los nuevos virus solo a base de firmas en las bases de virus, estas bases no podrían caber en ningún equipo, el escaneo llevaría mucho tiempo y la velocidad de funcionamiento del equipo se reduciría considerablemente.

El antivirus de hoy es un conjunto de tecnologías heurísticas, de comportamiento y preventivas no vinculadas con firmas, que se complementan por las entradas en las bases de virus, lo que permite que el antivirus le protege contra las amenazas reales.

Si para un programa malintencionado no hay una entrada en la base de virus, ¿el antivirus debe detectarlo usando las tecnologías heurísticas?

Este mito existe por causa de otra opinión errónea de que un antivirus debe detectar un 100% de programas malintencionados, y también porque hay pruebas de antivirus de análisis heurístico.

En realidad, el análisis heurístico permite detectar solo las nuevas modificaciones de programas malintencionados que llegaron para el análisis anteriormente, de comportamiento conocido para el antivirus.

Los malintencionados que desarrollaron un troyano para evitar la modificación del mismo al añadir la información sobre el mismo a las bases de virus del antivirus, simplemente lo empaquetarán usando un empaquetador de archivos o lo cifrarán.

¿Qué puede hacer un antivirus en este caso? Puede añadir cada muestra de este tipo a la base de virus (¡es posible que algunos antivirus lo hagan!), y también se puede capturarlo usando la tecnología FLY-CODE y la tecnología del análisis de la entropía estructural, como lo hace Dr.Web. La primera asegura el escaneo de objetos ejecutables empaquetados, desempaqueta los empaquetadores no estándar usando el método de virtualización de ejecución del archivo, y la segunda detecta las amenazas desconocidas por peculiaridades de ubicación de las partes del código en los objetos escaneados protegidos por los criptoempaquetadores.

¿Cuál es la tarea principal del antivirus?

El antivirus debe tanto evitar la infección como desinfectar de los programas malintencionados ya penetrados.

Lamentablemente, un antivirus no puede detectar todos los programas malintencionados en el momento de infección. Por eso para afrontar la infección, otros sistemas ayudan al antivirus — entre ellos, los sistemas de restricción del inicio de programas desconocidos y de control del comportamiento.

Pero solo un antivirus puede desinfectar el sistema de programas malintencionados ya penetrados y activos que afrontan los sistemas de protección cuando los mismos intentan eliminarlos.

Ningún software, además del antivirus, es capaz de desinfectar un sistema infectado del programa malintencionado. La desinfección es la misión disponible solo para un antivirus y ningún otro software.

¿Qué software adicional necesita un antivirus para la protección de programas malintencionados?

Cualquier respuesta a esta pregunta es errónea.

Un antivirus de hoy puede detectar tanto el software espía como los rootkits, y no necesita usar ningún software extra. Además, el paquete de entrega de muchos antivirus contiene los Firewalls – los componentes especiales capaces de proteger un equipo contra el acceso no sancionado por la red.

Un antivirus encuentra y borra del sistema cualquier tipo de programas malintencionados. Para realizarlo, un antivirus no necesita ningún otro software adicional.

¿Qué puede evitar la necesidad de instalar un antivirus?

Cualquier respuesta a esta pregunta es errónea.

Las vulnerabilidades del software, la ingeniería social y las trampas de phishers solo aumentan el riesgo de infección sin participación del usuario, por muy cauteloso que sea el mismo.

¿Hace falta un antivirus si uno no consulta los sitios web sospechosos ni sigue los enlaces en los mensajes de remitentes desconocidos?

Los que consideran que el anvitirus no es necesario y solo hace más lento el funcionamiento del equipo creen que para infectar un sistema hay que instalar un troyano manualmente — por ejemplo, al haber descargado el mismo siguiendo un enlace nocivo del mensaje. Pero es que somos todos listos y nunca lo hacemos:)

Pero en la práctica resulta que en la mayoría de los casos los usuarios mismos descargan e instalan un troyano en su PC, ¡sin darse cuenta!

También existen los escenarios de ataques, cuando un usuario no necesita realizar ninguna acción para ejecutar un troyano. En un instante sin su participación, en el PC se instalará un troyano que Vd. no notará.

¿Hace falta un antivirus si un equipo se usa solo para juegos?

La industria de juegos informáticos de hoy es un mercado altamente desarrollado con circulación anual de docenas de millares de dólares. Y los gamers no están protegidos de amenazas de Internet.

«Promoviendo» a sus personajes, obteniendo los artefactos de los juegos, los usuarios lo hacen con mucha frecuencia pagando el dinero real – y es donde les pueden esperar unas “sorpresas” de troyanos desagradables. Por ejemplo, Trojan.SteamBurglar.1 es capaz de robar los objetos de juegos para venderlos posteriormente.

Además de los troyanos, existen muchos modos fraudulentos de quitar los artefactos de valor y hasta la cuenta a un jugador, convertir el PC del mismo en un participante de una botnet, hacerlo participar en un ataque DDoS al servidor de juegos de una empresa indeseable, etc.

Además, existen los troyanos cifradores que buscan en los PCs los rastros de los juegos en línea o de la cuenta en Steam y cifran los archivos extorsionando un rescate.

Un antivirus protegerá contra la infección por los programas similares, y el web antivirus SpIDer Gate no permitirá visitar un sitio web fraudulento.