Intentar ejecutar código malicioso

Contrariamente a la creencia popular, la detección no es la solución a la multiplicación de las amenazas. Lo importante no es que se detecte código malicioso, sino que se detenga su acción! Cuando las amenazas eran pocas, la detección era una respuesta excelente porque actuaba en sentido ascendente. Ahora, como ya no es realista ser capaz de detectar todo, es necesario saber cómo proteger los equipos cuando se ejecutan las amenazas. Eso es exactamente lo que esta prueba está tratando de medir.

Obviamente, este evento es probablemente el desafío más difícil para las diferentes suites. Deben defenderse sin conocer la amenaza. Sin embargo, hay que tener en cuenta que esta prueba es teóricamente más desactivadora para Norton, TrendMicro, Panda y F-Secure. Estas suites tienen defensas proactivas que dependen en parte del uso de la nube. Para evitar que estas suites utilicen su detección tradicional, las probamos sin conexión a Internet.

Hemos clasificado los resultados en tres grupos:
Con éxito, el programa fue totalmente bloqueado;
Parcialmente, la infección no ocurrió. El peligro real ha sido eliminado y el antivirus ha reaccionado a la amenaza. Pero los rastros en el Registro siguen siendo visibles y pueden causar alertas cuando se inicia Windows;
Fallas, se ha producido una infección. Incluso si el antivirus ha mostrado una alerta, si la infección ha ocurrido y permanece en el sistema después de que se haya ejecutado el código malicioso, hemos contado el resultado como un fallo.

Kaspersky y sus dos características de seguridad

Durante esta prueba, Kaspersky planteó un problema particular. El software tiene dos métodos complementarios. El primero es una ejecución de código en un modo de acceso restringido al sistema. La segunda, lo que Kaspersky llama la “Zona Verde”. En la Zona Verde, la infección del equipo host es imposible, ya que la aplicación está de alguna manera virtualizada.

Las mediciones se hicieron con el primer modo, el segundo no siendo directamente comparable a los otros. Esto no impide que Kaspersky salga vencedor, con una muy buena puntuación. Pero cuidado, esta puntuación sólo se obtuvo porque comparamos las suites con sus parámetros de defensa al máximo (en el modo por defecto, la puntuación de Kaspersky cae a 6/15)!

Norton podría haber obtenido la nota perfecta.

Norton 2010 también planteó una cuestión. Actualmente se está probando en modo totalmente desconectado. Sin embargo, su protección Sonar 2 normalmente utiliza la conexión de red para evaluar la “reputación” de un archivo. Cuando se ejecuta un archivo desconocido, Norton 2010 le indica al usuario cuántos usuarios de Internet son dueños del archivo, cuánto tiempo hace que la red del usuario lo conoce y si su origen es creíble o no.

Con dicha información, un usuario experto elegirá si desea o no ejecutar el programa. En tal contexto, Norton 2010 habría obtenido la puntuación máxima de 15/15! En modo offline, esta “reputación” de los ficheros no es operativa. La puntuación obtenida por Norton 2010 es, por lo tanto, exactamente lo que la suite habría obtenido en modo conectado con un usuario “loco e inconsciente”, que habría forzado la ejecución aunque la suite le aconsejara que no lo hiciera!

BitDefender y TrendMicro codo con codo

BitDefender y TrendMicro están en segundo lugar. Obtienen la misma puntuación, pero su protección es diferente, y no ha adoptado los mismos códigos. La posición de BitDefender no es una sorpresa. Su protección B-HAVE es madura, mejorada año tras año. Por otro lado, la presencia de TrendMicro es una gran sorpresa. Su mecanismo de protección se basa principalmente en la información de los servidores y de la red de usuarios. El resto se centra más en los vectores de amenaza que en las propias amenazas. Sin embargo, los ingenieros de TrendMicro no han descuidado las clásicas defensas proactivas.

Una dura prueba para todas las suites

F-Secure es el último. Sin embargo, su tecnología DeepGuard es muy conocida. Pero en la edición de 2010, esta tecnología se basa principalmente en información de los servidores de F-Secure y de la red de usuarios. En el contexto de esta prueba, DeepGuard estaba totalmente indefenso. Las otras tres suites están empatadas. Pero sus puntuaciones reflejan comportamientos diferentes. G-Data basa esencialmente sus defensas proactivas en su módulo CommTouch, que no actúa sobre las amenazas ejecutadas desde el disco (el módulo BitDefender que alimenta uno de sus motores no tiene la tecnología B-Have incorporada).

La sorpresa es finalmente la puntuación media alcanzada por la defensa de TruPrevent de Panda, que no se distinguió de los programas de nuestra muestra. Hay que recordar que Panda basa la protección de su suite sobre todo en su tecnología de “inteligencia colectiva”, que también requiere el acceso a Internet. En cuanto a Mc Afee, sus protecciones son tan justas como las otras.

No Responses

Write a response