F-PROT Por Aldo B. Castelar En este numero analizamos un antivirus relativamente nuevo para el mercado local, pero con una calidad que le permite competir con los mejores. El F-Prot es un anti virus basado en la búsqueda de virus conocidos, al igual que el Scan o el Dr. Solomon Toolkit. No tiene módulos de chequeo de integridad en su versión shareware. El método en el que se basa para la detección es el de búsqueda de strings, o sea, busca trozos característicos de los virus conocidos en memoria o en los archivos. La principal diferencia del F-Prot y otros antivirus como el Scan está en su confiabilidad, ya que difícilmente presente falsas alarmas. Esto se debe a que hace un chequeo exaustivo sobre el archivo antes de determinar la existencia de un virus o no. El F-Prot permite, por lo tanto, no solo detectar la presencia de un virus conocido en un archivo, sino que permite reconocer exactamente de que virus se trata. Esto es imposible si se usa el Scan, ya que el Scan a veces no diferencia entre variantes del mismo virus, aún variantes tan diferentes entre sí como el Stoned y el Michelangelo. También se diferencia de otros programas que tienen un alto grado de confiabilidad en que es capaz de reconocer virus modificados. Por ejemplo, un virus generado con el VCL se modifica muy fácil como para que el Scan deje de detectarlo, pero hacen falta muchas modificaciones para que el F-Prot no lo reconozca. También tiene un método heurístico de búsqueda, que permite encontrar virus desconocidos. F-Prot es un producto de Frisk Software International, una compañía de origen Islandés, y su autor es Fridrik Skulason. Skulason es un experto en virus de fama internacional, miembro de CARO y autor de muchos trabajos sobre el tema. Funcionamiento Cuando se ejecuta el módulo de búsqueda de virus, el f- prot.exe, éste se chequea a si mismo y luego empieza a buscar en memoria virus conocidos. Si existe alguno, avisa e indica al usuario que debe resetear la máquina y cargar un sistema operativo limpio para seguir. Si todo está bien, nos presenta el menú principal del programa. Aquí tenemos cinco opciones. La primera de ellas es Scan, y es precisamente la búsqueda de virus en el disco. Dentro de esta opción tenemos un menú de otras seis opciones. La opción principal es Begin Scan, con la cual se comienza a buscar virus en el disco rígido. Luego podemos elegir el método de búsqueda, entre búsqueda segura, rápida y el método heurístico. La búsqueda segura es la que ya nombramos, e identifica con precisión cada virus y variante. Cuando encuentra un virus puede removerlo. El método rápido nos permite buscar rápidamente variantes de virus, pero no es tan seguro y no nos permite la remoción del virus, previendo el caso de que se trate de una falsa alarma. El método heurístico utiliza un pequeño sistema experto para detectar la posibilidad de la existencia de un virus desconocido en un archivo. El programa nos advierte de la posibilidad de que se produzcan falsas alarmas usando este método, por lo cual debemos tomar con mucho cuidado lo que nos reporta, y lo mejor es consultar a algún entendido del tema para verificar si se trata de un virus verdadero o una falsa alarma. El algoritmo heurístico busca trozos de código en los programas que puedan ser característicos de un virus, como por ejemplo programas auto modificantes, o comportamientos propios de virus. Como hacer un análisis de lo que puede hacer un programa (en forma automática y sin ejecutarlo) es algo extremadamente difícil, esto no solo puede dar muchas falsas alarmas (falsos positivos) sino puede no detectar muchos virus desconocidos (falsos negativos). Después de estas opciones de tipo de búsqueda, podemos elegir donde buscar los virus. Nuestras opciones son: disco rígido, diskettera, a través de una red, o un directorio, disco o archivo especificado por el usuario. Luego tenemos las opciones de la acción que tomará el programa cuando encuentra un virus. Puede ser simplemente reportarlo, desinfectar el archivo o el disco, borrar el archivo infectado, o renombrarlo a una extensión no ejecutable, para que no se infecten más archivos accidentalmente. Las opciones de desinfectar, borrar o renombrar pueden ser automáticas o el programa puede preguntarle al usuario cada vez que detecta un virus la acción a tomar. Podemos definir el tipo de virus que el programa va a buscar, si busca virus de boot, de archivo, si busca virus definidos por el usuario, y si busca en el interior de archivos comprimidos. Luego tenemos la opción de definir sobre que archivos va a buscar, si sobre los ejecutables comunes (*.APP *.COM *.EXE *.OV? *.PGM *.SYS), sobre todos los archivos, o sobre una serie de extensiones definidas por el usuario. Otras opciones Además de la opción de instalar el programa en el disco y de actualizar el autoexec.bat para que incluya el módulo residente, tenemos un par de opciones más que son informativas. La primera es sobre los virus. Con esta opción tenemos acceso a una amplia base de datos sobre virus, que nos informa el nombre y alias del virus, su país de origen, su tamaño (en los casos en que esto es aplicable), el tipo de virus que es y si es posible su reparación usando F-prot. Junto con la base de datos sobre virus existentes, tenemos la opción de definir nuevos virus para que el programa lo detecte. Utilizando esta opción se pueden actualizar el programa con los virus nuevos hasta que aparezca una versión nueva que los detecte por si misma. Siguiendo con la información, tenemos un menú que nos presenta información sobre el programa, la cantidad de virus que detecta, quien es el autor, cuanto cuesta registrarse y cómo conseguir las nuevas versiones. Es interesante destacar que Skulason explica que no se puede decir realmente la cantidad de virus que detecta el programa, ya que existen tres definiciones distintas sobre cómo se puede considerar un virus diferente del otro. Cada autor de anti virus utiliza la que le da mas virus a ellos y menos a los demás, y él prefiere dejar la pregunta sin responder. Residente El módulo residente del programa es muy sencillo. Lo que hace es esperar a que se intente ejecutar algún programa, y cuando se ejecute chequea si está infectado. El problema que tiene este programa es que no busca todos los virus que reconoce el módulo no residente. Esto se debe a que le tomaría demasiado tiempo verificar algunos virus como ser los polimórficos, y la máquina se haría demasiado lenta. Además de chequear los programas cuando se ejecutan, tiene una serie de opciones que permiten aumentar el grado de protección. Esas opciones son copy, boot y warm. Copy chequea cada archivo que se copia o accede, para verificar si tienen virus. Boot verifica el sector de booteo de los diskettes que se utilizan en la máquina, y avisa de la presencia de un virus de boot. Y warm intercepta el funcionamiento de la secuencia de teclas control alt del, y verifica si hay un diskette infectado en la disketera A antes de bootear. Conclusiones F-Prot es considerado por muchos como el mejor antivirus del mercado en este momento. Incluso Aristotle, el sysop del BBS de virus Black Axis, reconoce que este programa es el que más virus detecta de su colección, la cual es considerada una de las mayores del mundo. Tambien algunos autores de virus están desarrollando técnicas para engañar el análisis heurístico, lo cual indica que es bastante bueno. Por el precio (gratis para el usuario individual y no comercial) y sus excelentes prestaciones, es realmente una muy buena opción para cualquiera.