F-PROT
Por Aldo B. Castelar


En este numero analizamos un antivirus relativamente nuevo para el
mercado local, pero con una calidad que le permite competir con los
mejores.

El F-Prot es un anti virus basado en la búsqueda de virus conocidos, al
igual que el Scan o el Dr. Solomon Toolkit. No tiene módulos de chequeo
de integridad en su versión shareware. El método en el que se basa para
la detección es el de búsqueda de strings, o sea, busca trozos
característicos de los virus conocidos en memoria o en los archivos. La
principal diferencia del F-Prot y otros antivirus como el Scan está en
su confiabilidad, ya que difícilmente presente falsas alarmas. Esto se
debe a que hace un chequeo exaustivo sobre el archivo antes de
determinar la existencia de un virus o no. El F-Prot permite, por lo
tanto, no solo detectar la presencia de un virus conocido en un archivo,
sino que permite reconocer exactamente de que virus se trata. Esto es
imposible si se usa el Scan, ya que el Scan a veces no diferencia entre
variantes del mismo virus, aún variantes tan diferentes entre sí como el
Stoned y el Michelangelo. También se diferencia de otros programas que
tienen un alto grado de confiabilidad en que es capaz de reconocer virus
modificados. Por ejemplo, un virus generado con el VCL se modifica muy
fácil como para que el Scan deje de detectarlo, pero hacen falta muchas
modificaciones para que el F-Prot no lo reconozca. También tiene un
método heurístico de búsqueda, que permite encontrar virus desconocidos.

F-Prot es un producto de Frisk Software International, una compañía de
origen Islandés, y su autor es Fridrik Skulason. Skulason es un experto
en virus de fama internacional, miembro de CARO y autor de muchos
trabajos sobre el tema.

Funcionamiento

Cuando se ejecuta el módulo de búsqueda de virus, el f- prot.exe, éste
se chequea a si mismo y luego empieza a buscar en memoria virus
conocidos. Si existe alguno, avisa e indica al usuario que debe resetear
la máquina y cargar un sistema operativo limpio para seguir. Si todo
está bien, nos presenta el menú principal del programa. Aquí tenemos
cinco opciones.

La primera de ellas es Scan, y es precisamente la búsqueda de virus en
el disco. Dentro de esta opción tenemos un menú de otras seis opciones.
La opción principal es Begin Scan, con la cual se comienza a buscar
virus en el disco rígido. Luego podemos elegir el método de búsqueda,
entre búsqueda segura, rápida y el método heurístico. La búsqueda segura
es la que ya nombramos, e identifica con precisión cada virus y
variante. Cuando encuentra un virus puede removerlo. El método rápido
nos permite buscar rápidamente variantes de virus, pero no es tan seguro
y no nos permite la remoción del virus, previendo el caso de que se
trate de una falsa alarma. El método heurístico utiliza un pequeño
sistema experto para detectar la posibilidad de la existencia de un
virus desconocido en un archivo. El programa nos advierte de la
posibilidad de que se produzcan falsas alarmas usando este método, por
lo cual debemos tomar con mucho cuidado lo que nos reporta, y lo mejor
es consultar a algún entendido del tema para verificar si se trata de un
virus verdadero o una falsa alarma. El algoritmo heurístico busca trozos
de código en los programas que puedan ser característicos de un virus,
como por ejemplo programas auto modificantes, o comportamientos propios
de virus. Como hacer un análisis de lo que puede hacer un programa (en
forma automática y sin ejecutarlo) es algo extremadamente difícil, esto
no solo puede dar muchas falsas alarmas (falsos positivos) sino puede no
detectar muchos virus desconocidos (falsos negativos). Después de estas
opciones de tipo de búsqueda, podemos elegir donde buscar los virus.
Nuestras opciones son: disco rígido, diskettera, a través de una red, o
un directorio, disco o archivo especificado por el usuario. Luego
tenemos las opciones de la acción que tomará el programa cuando
encuentra un virus. Puede ser simplemente reportarlo, desinfectar el
archivo o el disco, borrar el archivo infectado, o renombrarlo a una
extensión no ejecutable, para que no se infecten más archivos
accidentalmente. Las opciones de desinfectar, borrar o renombrar pueden
ser automáticas o el programa puede preguntarle al usuario cada vez que
detecta un virus la acción a tomar.

Podemos definir el tipo de virus que el programa va a buscar, si busca
virus de boot, de archivo, si busca virus definidos por el usuario, y si
busca en el interior de archivos comprimidos. Luego tenemos la opción de
definir sobre que archivos va a buscar, si sobre los ejecutables comunes
(*.APP *.COM *.EXE *.OV? *.PGM *.SYS), sobre todos los archivos, o sobre
una serie de extensiones definidas por el usuario.

Otras opciones

Además de la opción de instalar el programa en el disco y de actualizar
el autoexec.bat para que incluya el módulo residente, tenemos un par de
opciones más que son informativas. La primera es sobre los virus. Con
esta opción tenemos acceso a una amplia base de datos sobre virus, que
nos informa el nombre y alias del virus, su país de origen, su tamaño
(en los casos en que esto es aplicable), el tipo de virus que es y si es
posible su reparación usando F-prot.

Junto con la base de datos sobre virus existentes, tenemos la opción de
definir nuevos virus para que el programa lo detecte. Utilizando esta
opción se pueden actualizar el programa con los virus nuevos hasta que
aparezca una versión nueva que los detecte por si misma. Siguiendo con
la información, tenemos un menú que nos presenta información sobre el
programa, la cantidad de virus que detecta, quien es el autor, cuanto
cuesta registrarse y cómo conseguir las nuevas versiones. Es interesante
destacar que Skulason explica que no se puede decir realmente la
cantidad de virus que detecta el programa, ya que existen tres
definiciones distintas sobre cómo se puede considerar un virus diferente
del otro. Cada autor de anti virus utiliza la que le da mas virus a
ellos y menos a los demás, y él prefiere dejar la pregunta sin
responder.

Residente

El módulo residente del programa es muy sencillo. Lo que hace es esperar
a que se intente ejecutar algún programa, y cuando se ejecute chequea si
está infectado. El problema que tiene este programa es que no busca
todos los virus que reconoce el módulo no residente. Esto se debe a que
le tomaría demasiado tiempo verificar algunos virus como ser los
polimórficos, y la máquina se haría demasiado lenta.

Además de chequear los programas cuando se ejecutan, tiene una serie de
opciones que permiten aumentar el grado de protección. Esas opciones son
copy, boot y warm. Copy chequea cada archivo que se copia o accede, para
verificar si tienen virus. Boot verifica el sector de booteo de los
diskettes que se utilizan en la máquina, y avisa de la presencia de un
virus de boot. Y warm intercepta el funcionamiento de la secuencia de
teclas control alt del, y verifica si hay un diskette infectado en la
disketera A antes de bootear.

Conclusiones

F-Prot es considerado por muchos como el mejor antivirus del mercado en
este momento. Incluso Aristotle, el sysop del BBS de virus Black Axis,
reconoce que este programa es el que más virus detecta de su colección,
la cual es considerada una de las mayores del mundo. Tambien algunos
autores de virus están desarrollando técnicas para engañar el análisis
heurístico, lo cual indica que es bastante bueno. Por el precio (gratis
para el usuario individual y no comercial) y sus excelentes
prestaciones, es realmente una muy buena opción para cualquiera.

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.