Este número se verá aumentado a corto plazo, ya que se está trabajando en la integración de nuevos motores antivirus que han solicitado participar en VirusTotal, como son los casos de Avast!, AVG, mks_vir y Hauri, encontrándonos abiertos a nuevas incorporaciones.
Los usuarios también cuentan ahora con un nuevo sistema para proceder al análisis de archivos mediante un formulario que muestra los resultados directamente en la página web, sin necesidad de introducir su dirección de correo electrónico, disponible en la parte superior del sitio http://www.virustotal.com
También se encuentra disponible el sistema recomendado que consiste en enviar la muestra sospechosa enviándola adjunta en un mensaje de correo electrónico a la dirección ANALIZA con el asunto ANALIZA, recibiendo por e-mail los resultados.
Otra de las novedades es el sistema de distribución de muestras infectadas a los laboratorios antivirus participantes en VirusTotal. Con esta función, los laboratorios antivirus pueden recibir en tiempo real aquellas muestras infectadas que su solución no detecta y sí son detectadas por alguno de los otros motores integrados en VirusTotal.
Mediante este sistema, los usuarios que envíen muestras participan de forma activa en la protección global, ya que ayudan a que todos los antivirus detecten los nuevos virus. Adicionalmente los usuarios de antivirus que participan en VirusTotal tienen la garantía de que su solución puede recibir los nuevos especímenes en tiempo real y por tanto ofrecer una mayor y mejor protección.
Para garantizar la privacidad de los usuarios que envíen información sensible a analizar, como por ejemplo documentos de Office, existe una opción que garantiza que dichos archivos, en caso de estar infectados, no serán incluidos en el sistema de distribución. No obstante, Hispasec recomienda que esta opción sólo sea utilizada en caso de estricta necesidad, para que no penalice la distribución de muestras infectadas. Igualmente Hispasec velará por el buen uso de dicha opción, pudiendo ser retirada si se detecta un uso no adecuado de la misma.
El sistema de distribución de muestras está siendo una importante ayuda para las casas antivirus participantes en VirusTotal, ya que la media actual es de 50 muestras infectadas diferentes no detectadas por motor antivirus y día.
El volumen es tal que son varios los laboratorios antivirus que se han visto desbordados. En estos momentos sólo 6 laboratorios antivirus están recibiendo las muestras, y esperamos que en breve el resto se incorporen al sistema de distribución (es totalmente gratuito, como el resto de servicios de VirusTotal).
En definitiva, se trata de democratizar el acceso a las muestras infectadas, para que todos los antivirus tengan la posibilidad de ofrecer la mejor protección a sus usuarios. No nos parece de recibo que un usuario se infecte porque su antivirus no ha tenido opción de conseguir una muestra infectada con anterioridad, tal y como sucede ahora.
Las diferencias entre soluciones antivirus no deberían marcarse por la guerra de números (yo tengo más firmas de virus que tú), sino por otras muchas características que actualmente no se tienen en cuenta o son evaluadas en un segundo plano, como rendimiento, fiabilidad, detección genérica sin firmas, recursos que consume, etc.
Ausencias
Los asiduos al servicio echarán en falta los motores de McAfee y TrendMicro en los reportes de VirusTotal. Estos motores han sido retirados de forma cautelar tras recibir notificaciones de las centrales de NAi y TrendMicro donde decían no haber recibido explicación alguna sobre su uso y fines que perseguía VirusTotal.
Antes de proceder a la publicación de VirusTotal, y antes de cualquier nueva incorporación, Hispasec realiza una presentación del servicio. Por razones geográficas y por mantener un trato más cercano, en un principio se notificó a personal que las casas antivirus mantienen en España (oficinas o distribuidores oficiales).
Parece ser que en estos dos casos, NAi/McAfee y TrendMicro, la comunicación entre el personal de España y las centrales fue insuficiente, cuando no nula. En ambos casos, nada más recibir el comunicado de las centrales, Hispasec decidió en primer lugar retirar sus motores como medida cautelar, y posteriormente a facilitar la información requerida.
En estos momentos la incorporación de ambos motores depende de sus respectivas centrales, que deberán dar la pertinente autorización por escrito. Esperamos que por el bien de la comunidad, y de sus propios clientes (ya que sus laboratorios no reciben los virus que no detectan al no estar en el sistema de distribución de muestras), puedan estar disponibles de nuevo en breve.
No obstante, esta situación no afecta de forma alguna a los tiempos de reacción antivirus que solemos incluir en las noticias de una-al-día en relación a nuevos virus y gusanos. Ya que en el laboratorio de Hispasec seguimos evaluando a todos los antivirus, incluido McAfee y TrendMicro.
Actualmente las conversaciones con todas las casas antivirus se realizan directamente con las centrales.
Más información:
una-al-dia (01/06/2004) El mayor antivirus público de Internet
http://www.hispasec.com/unaaldia/2046
una-al-dia (05/07/2004) Incorporación de ClamAV y mejoras en VirusTotal
http://www.hispasec.com/unaaldia/2080
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
