AntiVirus
Content
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
16
PORTADA • Antivirus
Antivirus para Linux
ANTIVIRUS
Así que desea un antivirus ¿no? A continuación vamos a mostrar lo que hemos encontrado tras realizar una gira en busca de los mejores antivirus para la plataforma Linux. POR JAMES MOHR
esde el famoso virus Bliss a principios de 1997, la prensa ha estado bastante tranquila en relación con los virus para la plataforma Linux. Sin embargo, dependiendo de la fuente a la que se consulte, se habla desde una docena hasta 400 virus, troyanos y otra clase de malware que es capaz de infectar sistemas Unix y Linux. Comparado con las decenas de miles de virus, gusanos y otras clases de infecciones que afectan a Windows, en Linux esta cantidad es bastante pequeña y las ocasiones de ser infectado por un virus son mucho menores. Pero como se aprendió en el artículo anterior, los antivirus para Linux son bastante importantes.
D
cada semana, es una motivación para disponer de una buena solución con la que combatir los virus. Cuando comencé este proyecto tan sólo esperaba encontrar unas pocas empresas que proporcionaran versiones de sus productos antivirus para Linux. Mientras llevaba a cabo la búsqueda, algunas empresas parecían que simplemente habían saltado a la moda de Linux, pero también encontré varias que poseían una solución antivirus para Linux muy profesional y eficaz. En este artículo, voy a investigar algunos de los antivirus más populares del entorno Linux.
Consiguiendo un Antivirus
Si se está usando Linux como un servidor de ficheros o de correo electrónico en una empresa, realmente se debería considerar instalar un buen antivirus. En muchos casos, las docenas de virus que detecto
La Colección
Para el artículo, solamente he tenido en cuenta los productos que se podían descargar y usar gratuitamente, incluso si la versión disponible era simplemente una copia de evaluación. No he tenido en cuenta aquellos productos que sólo esta-
ban disponibles en CDs que había que solicitar. Los productos que solamente están disponibles en CDs son una excepción, porque he logrado bajarme una gran cantidad de antivirus. En algunos casos, existían versiones más avanzadas para los servidores de ficheros o de correo que no estaban disponibles para ser descargadas desde la web. Además de analizar productos que fueran capaces de identificar y eliminar los virus en nuestro laboratorio, también he evaluado la facilidad de uso de los mismos. Se espera que la instalación y el uso de los productos comerciales sean fáciles. No hay que ser un administrador de sistemas experimentado para poder instalarlo. Mi intención original fue hablar sobre versiones de “estaciones de trabajo”, pero no todas las empresas disponen de versiones de este tipo y en estos casos, elegí un producto cuya apariencia y funcionalidad fuera similar.
16
Número 15
WWW.LINUX- MAGAZINE.ES
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
17
Antivirus • PORTADA
BitDefender
La versión para Linux que descargué era BitDefender-Console-Antivirus-7.0.1-3, que venía como un fichero RPM. Aunque BitDefender [1] no soporta un amplio rango de sistemas operativos como lo hacen otros vendedores, proporciona un buen número de variantes de sus productos. Por ejemplo, disponen de versiones para Sendmail y Sendmail Milters, Qmail, Postfix y Courier. Además de los antivirus para Linux, también proporcionaban versiones gratuitas de sus antivirus para Windows. Aunque la realización del primer análisis fue más sencillo que con otros productos, el único fichero que BitDefender identificó inicialmente como virus fue el fichero de pruebas EICAR. Además de esto, la ayuda en línea no coincidía con la página man. Se hizo uso de un comando extraído de la página man que se suponía que incluía los archivos comprimidos, pero no fue analizado ningún fichero .zip. El antivirus no comenzó a analizar otros ficheros que no fueran los típicos ficheros ejecutables Windows (los terminados en .exe, .com, .bat) hasta que se usó la opción --all. Sin embargo, resultó bastante interesante que, incluso sin la opción --all, analizara los ficheros letter32.txt y body2.doc. Incluso cuando se usó --all, no funcionó todo como se esperaba. El antivirus informó que el fichero every.zip estaba “OK”, a pesar del hecho de que otros productos lo identificaban como infectado. Cuando se renombraba a .exe o .doc, el fichero era analizado e identificado como comprimido, y los ficheros comprimidos que contenía dentro se analizaban y se detectaba que estaban infectados, como lo habían identificado los otros productos.
Listado 2: Ejemplo de Salida de ClamAV
01 ----------- SCAN SUMMARY ----------02 Known viruses: 40507 03 Engine version: 0.86.2 04 Scanned directories: 1 05 Scanned files: 69 06 Infected files: 69 07 Data scanned: 4.91 MB 08 Time: 3.705 sec (0 m 3 s)
Listado 1: Ejemplo de Salida de BitDefender
01 Results: 02 Folders :1 03 Files :64 04 Packed :0 05 Infected files :32 06 Suspect files :0 07 Warnings :0 08 Identified viruses:7 09 I/O errors :2
Descubrí que el fichero de configuración contenía una lista de “extensiones” que el programa utilizaba para decidir si debía o no analizar un fichero. Cuando añadí “zip” a la lista, los ficheros se escasearon e identificaron correctamente. Parecía como si al no estar en la lista de “extensiones conocidas” el fichero no era analizado por defecto. Considerando que Linux no funciona con extensiones de ficheros tal como lo hace Windows y éste es un antivirus Linux, parecía como si el antivirus estuviese analizando ficheros en una máquina Windows. En comparación con otros productos, el fichero de configuración principal contiene solamente algunas opciones, aunque la mayoría de ellas eran autoexplicativas. Sin embargo, la documentación no explica cómo añadir opciones por defecto a este fichero al comienzo (incluso ni esta opción es posible). Con toda honestidad, tengo que decir que BitDefender es muy rápido analizando el correo. Algo que no ocurre con todos los demás productos. En su respuesta, admitieron que la documentación tenía que aclararse y fueron muy diligentes resolviendo los problemas. Aunque tuve problemas haciendo que el producto se ejecutara en condiciones, una vez que me hice una idea de cómo funcionaba, identificó todos los virus correctamente. Y como eso es la clave, creo que se debe considerar en serio a BitDefender, especialmente porque la versión para Linux es gratuita para los usuarios domésticos.
Clam AV
Clam AV [2] fue el único antivirus de Código Abierto que encontré. Inicialmente pensé que sería necesario recompilarlo o que tan sólo podría instalarlo en unas
pocas distribuciones, Para mi sorpresa, disponen de paquetes para la mayoría de las distribuciones Linux, además de para otros muchos sistemas operativos como Solares, AIX, FreeBSD e incluso BeOS. Existen versiones de Clam AV específicas para Sendmail Milters, además de para distintas versiones Windows, así como una versión “nativa” y otra versión que es parte del repositorio oficial Cygwin. Tras descargar e instalar el paquete RPM de clamav-0.86.2 y, al contrario que con otros productos, las páginas man se instalaron como debían; también man -k clam mostró todas las páginas. Realizar el primer análisis fue muy sencillo. Clam AV reconoció todos los virus, algo que no hicieron todos los productos comerciales. No se puede hablar exactamente de versiones para estaciones de trabajo y versiones para servidores de Clam AV, ya que se obtiene todo el software en un simple paquete. Además del típico análisis desde la línea de comandos, también incluía clamd, un servicio multihebra que permite el análisis para sistemas Linux y FreeBSD. El servicio clamd requiere que se compile e instale el módulo del kernel Dazuko. Aunque Clam AV no posee un gran número de opciones para la línea de comandos, definitivamente se mantiene a la altura de los productos comerciales con respecto a las opciones de configuración. Desafortunadamente, parece que no hay un fichero de configuración para especificar el comportamiento que se desee por defecto. Por ello, hay que especificar las opciones cada vez que se ejecute el programa. Pero es bastante sencillo escribir un script que realice esta tarea y no voy a desmerecer a ClamAV por ello. clamd y su programa de actualización posee ficheros de configuración, cada uno de ellos con un amplio rango de opciones. El analizador de la línea de comandos proporciona un par de buenas características. Por ejemplo, se pueden analizar los ficheros enviándolos a la entrada estándar de clamscan (por ejemplo, cat fichero | clamscan -). Aunque otros productos terminan con diferentes códigos de salida, dependiendo de si encontraron un virus o si se produjo un error, Clam AV proporcionó detalles del significado de estos códigos, una característica que pareció ser única entre todos los productos examinados. Ambas características permiten a Clam AV ser fácilmente integrado dentro de otras aplicaciones como servidores de correo.
WWW.LINUX- MAGAZINE.ES
Número 15
17
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
18
PORTADA • Antivirus
F-Prot
F-Prot [3] de FRISK Software Internacional es quizás el antivirus más conocido para sistemas Linux. En un tiempo, el analizador de virus de F-Prot fue el único antivirus para Linux que estaba disponible gratuitamente para los usuarios domésticos. Aunque ya no es el único de este tipo, el antivirus F-Prot es aún gratuito y no dispone de fecha de caducidad para los usuarios domésticos. Existen versiones disponibles para Windows, para distintas versiones de UNIX y para eServers de IBM. Descargué e instalé la versión gratuita para estaciones de trabajo, conocida como versión 4.6.0. El producto venía como un paquete RPM. No había ficheros extras que contuviesen PDF, README o algo similar. En vez de ello, tuve que mirar en los ficheros que contenía en el paquete RPM para ver qué documentación estaba disponible y también para determinar qué programa tenía realmente que ejecutar para comenzar. Parece que hay que adivinar el comportamiento de algunas de las opciones, ya que F-Prot dispone de una documentación muy limitada en comparación con la de otros productos. Aunque la documentación es suficiente para hacer que el producto funcione, no proporciona mucho más. También, las páginas man de F-Prot hacen referencia a una página man que explica el fichero principal de configuración (f-prot.conf), que no está incluida aunque el fichero si que está. El número de opciones disponible es comparable con el de algunos productos comerciales, y en algunos casos, F-Prot es más fácil de usar. Mirando el fichero de configuración, se encuentran opciones que parecen que sólo se pueden aplicar a un servicio del sistema o a otro programa que se esté ejecutando en un servidor de ficheros o de correo, implicando que la versión gratuita es una versión simplificada de otro producto. Todos los virus fueron correctamente identificados por F-Prot. Si el reconocimiento de virus es la clave, entonces vale la pena tener en cuenta a FProt.
F-Secure
F-Secure [4] posee quizás el mayor surtido de productos antivirus. Por ejemplo, su antivirus Suite F-Secure Enterprise contiene productos que van desde Windows Profesional a Servidores Citrix, pasarelas Linux, servidores Samba y muchos más.
Se descargó la versión 4.52 de estaciones de trabajo para 30 días. Esta versión venía como un fichero .tgz con un script con un binario embebido. En las instrucciones, F-Secure decía que para eliminar el producto “simplemente hay que borrar el directorio de instalación”. Sin embargo, la eliminación deja algunos ficheros por el sistema. Sugieren que se use find para buscar estos ficheros, algo que no esperaba encontrarme en un producto comercial. Durante la instalación, me alegró ver que se pedía al usuario que definiera ciertas opciones sobre el comportamiento del programa. Sin embargo, al contrario que otros productos, el número de opciones está reducido al mínimo. No fue de mi agrado descubrir que esta versión no analizaba correctamente varios virus que estaban en el interior de ficheros zip. Por el contrario, informaba de un “error interno”. Esto sucedió en los mismos ficheros que los antivirus gratuitos y todos los otros antivirus comerciales habían informado de la presencia de virus. Para un producto comercial, el no reconocer todos los virus es inquietante y no encontré nada en el sitio web de F-Secure que me ayudara a resolver este problema. Además del analizador de la línea de comandos, también posee un servicio, que se ejecuta por medio de un script rc o con el analizador de la línea de comandos. Esta versión también proporciona un script, que inserta un trabajo en el cron con el objeto de que analice o actualice la base de datos. Aunque se espera que un buen administrador sea capaz de insertar una entrada en crontab, encuentro esta característica útil, ya que guía al usuario por todos los pasos necesarios. El fichero de configuración proporciona un gran número de diferentes configuraciones, incluyendo qué directorios se tienen que analizar y cuales no, qué utilidad de syslog usar (si así es como se quiere registrar la actividad del antivirus), qué acciones tiene que tomar, las extensiones de los ficheros a analizar, etc. Al contrario que otros productos, por defecto, fsav también analiza los ficheros sin extensiones.
Listado 3: Ejemplo de Salida de F-prot
01 Results of virus scanning: 02 03 Files: 71 04 MBRs: 0 05 Boot sectors: 0 06 Objects scanned: 129 07 Infected: 67 08 Suspicious: 1 09 Disinfected: 0 10 Deleted: 0 11 Renamed: 0 12 13 Time: 0:01
AntiVir
Antivir fue desarrollado por H+DEDV Datentechnik GMBH [5]. El antivirus AntiVir se proporciona por defecto con muchas de las versiones de Linux SuSE,
también está disponible gratuitamente en su sitio web para uso doméstico. Intenté durante varios días descargarme la versión gratuita, no comercial, desde la web, pero recibí repetidamente errores del servidor, así que finalmente opté por descargar la versión “Professional” 2.1.4.8, que está disponible por un período de evaluación de 30 días. Mi negativa impresión inicial se debió al hecho de que incluso en su página “business solutions” parecía que el texto estaba traducido por alguien cuyo idioma nativo no era el inglés. En algunos casos, no podía comprender lo que estaban intentando decir. Estos problemas se extendían a la documentación online e incluso al script de instalación. Mi versión de Linux me proporciona una “licencia de evaluación” de AntiVir, y como ya tenía el producto instalado, supuse que lo mejor que podía hacer era desinstalar primero la versión previa. Aunque parecía que rpm había eliminado todos los ficheros, la base de datos RPM aún creía que el paquete estaba instalado, así que aparentemente algo iba mal. Parece que no está clara la forma en la que hay que desinstalar completamente el antivirus, y la respuesta del equipo de soporte de H + BEDV no fue muy útil. Como realmente no había comprado el producto, se ejecutó en modo “DEMO”. Esto significa que no era capaz de actualizar las definiciones de los virus. Afortunadamente, todos los virus que tenía eran lo suficientemente antiguos y estaban incluidos en la lista de definiciones, pero si el lector está planeando probar
18
Número 15
WWW.LINUX- MAGAZINE.ES
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
19
Antivirus • PORTADA
Listado 4: Ejemplo de Salida de Sophos
01 67 files swept in 2 seconds. 02 2 errors were encountered. 03 60 viruses were discovered. 04 60 files out of 67 were infected. 05 Please send infected samples to Sophos for analysis. 06 For advice consult www.sophos.com, email [email protected] 07 or telephone +44 1235 559933 08 End of Sweep.
Antivirus Kaspersky
La versión para estaciones de trabajo Linux está disponible para ser descargada y utilizada durante un período de 30 días. Me descargué la versión 5.5-2. De los productos que miré, Kaspersky [6] fue sin dudas el que me dio la impresión de ser el producto más profesional. Aunque no quiero dar la impresión de que los otros no eran profesionales, Kaspersky fue quizás el paquete más completo de los que miré, y me refiero tanto a las características como a la presentación. Además de la versión para las estaciones de trabajo, Kaspersky dispone de versiones para servidores de ficheros tanto para plataformas Linux como para UNIX; la versión para el servidor de correo soporta tanto Sendmail como Qmail. También está disponible una versión para Sendmail Mister y una versión para el servidor Samba. Dependiendo del producto que se seleccione, dispone de un número diferente de paquetes con licencias predefinidas. Dentro del paquete que se descarga va un fichero PDF de 68 páginas, que por supuesto sobrepasaba la documentación proporcionada por otros productos. El fichero .tgz que me descargué contenía ficheros rpm, deb y tar.gz, así que instalé el RPM. Durante el proceso de instalación el programa me preguntó si deseaba instalar el módulo Webmin acompañante. Si no se instala Webmin en este momento, se puede instalar posteriormente. La versión para estaciones de trabajo también proporciona un servicio, que se ejecuta desde un script rc. Este servicio intercepta las operaciones del sistema de ficheros antes de que las aplicaciones puedan acceder. De forma general, esta función es muy útil, pero hay aplicaciones que se “cuelgan” si el servicio se está ejecutando e intentan acceder a un fichero infectado. También me di cuenta cuando estaba funcionando en mi sistema, que el rendimiento se veía afectado significativamente en algunos momentos cuando se estaba ejecutando kavmonitor. En algunos casos, la carga de la CPU llegaba casi al 100%, sin embargo, no me echaron atrás estas caídas ocasionales del rendimiento. El fichero de configuración es muy extenso, con todas las opciones que uno espera, además se le puede indicar que ejecute un programa particular dependiendo de si ha identificado un virus o si simplemente tiene alguna sospecha. Por ejemplo,
este antivirus en el futuro, esto podría ser un problema. Aunque el texto de la instalación, README y demás estaban en inglés, el producto tan sólo proporcionaba una versión en alemán del manual de usuario en PDF del “UNIX Server”. Cuando por fin fui capaz de descargar la versión personal, no tenía forma de desinstalar la versión profesional. No tenía instalado un RPM y lo único que encontré en la documentación o en el sitio web indicaba que la actualización se realizaba simplemente ejecutando de nuevo el script de instalación, así que eso fue lo que hice. Se identificó que ya había una versión instalada y trató de actualizarla. Como la versión personal viene con una clave, ya no volví a recibir más el mensaje indicando que era una versión de demostración. Si esto era o no el procedimiento correcto, es algo que no está todavía claro con el correo recibido del departamento de soporte de H + DEV. En comparación con otros softwares, la instalación se llevó algo más de tiempo porque el programa realiza multitud de preguntas al usuario sobre la configuración del mismo. Para la versión profesional, comprendí e incluso aprecié cosas como ésta. Sin embargo algunas de las cuestiones eran preguntas que un usuario normal no comprendería muy bien, así que la versión “personal” fue más una molestia que otra cosa. Parte del producto es AvGuard, que proporciona análisis de ficheros en tiempo real y requiere que se compile el módulo del kernel Dazuko, que fue originalmente desarrollado por H + DEDV.
se puede enviar una notificación por correo electrónico al root, escribir una entrada en el syslog, etc. Tuve algunos problemas ejecutando un análisis conectado con un usuario distinto del root. Basado en algunas opciones del fichero de configuración por defecto, no fui capaz de escribir en un par de ficheros. Sin embargo, se le puede indicar al antivirus que lea de un fichero de configuración diferente, y para ello tiene que escribir en diferentes ficheros, para lo cual es necesario que la cuenta tenga los permisos necesarios. Las opciones de la línea de comandos son intimidatorias, simplemente porque hay infinidad de opciones, pero la documentación proporciona buenos ejemplos con los que empezar. No hace falta decir que identificó con toda precisión todos los virus que había en el sistema. El sistema de actualización es tan bueno como el programa y permite realizar actualizaciones automáticas de la base de datos de virus, incluso a través de un servidor proxy protegido con contraseña.
Sophos
Este producto lo proporciona Sophos PLC [7]. Encontrar la versión apropiada en la web no fue una tarea sencilla, ya que terminé suponiendo que “Otros” significaba Linux. En este caso, “Otros” también significa otros sistemas operativos diferentes de Windows, entre ellos la mayoría de los vendedores UNIX e incluso SCO. También encontré una versión para OpenVMS. No estaba muy seguro de la versión que me descargué, ya que el fichero tenía el nombre linux.intel.libc6.glibc.2.2.tar.Z. Después de instalarlo, me enteré que la versión del antivirus era la 3.97.0. La instalación fue bastante simple, pero al contrario que otros productos, Sophos requiere que primero se cree de forma manual un usuario y un grupo especial. Luego se ejecuta el script, que parece que simplemente se limita a copiar los ficheros en los directorios apropiados, no es un paquete RPM. La desinstalación del producto tiene que realizarse manualmente siguiendo una lista de ficheros y directorios que deben borrarse. La realización manual del primer análisis no fue tan sencilla como la realizada con otros productos, ya que no estaba claro qué programa había que ejecutar para comenzar el proceso. Como no dispone de ningún fichero RPM, no pude revisar el
WWW.LINUX- MAGAZINE.ES
Número 15
19
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
20
PORTADA • Antivirus
contenido de ninguna página man. Tan sólo me llevó unos minutos averiguarlo. Aunque instalé el producto como root, se me presentaron algunos problemas cuando intenté ejecutar el primer análisis, ya que informaba de un directorio inexistente. Después de intentarlo unas cuantas veces, al fin conseguí echarlo a andar. El por qué no existían estos directorios en el sitio web de Sophos es algo que no se explica. Recibí una respuesta rápida de Sophos cuando les envié un correo preguntándoles por estos directorios y fueron de gran ayuda a la hora de resolver este problema. El primer análisis fue fácil y la herramienta rápidamente analizó mis ficheros infectados. Sin embargo, se “saltó” cinco de los ficheros y no identificó los virus en otros cinco ficheros. Cuando usé la opción -all, parecía que no analizaba algunos ficheros por defecto. Así que para que el antivirus analice todos los ficheros hay que utilizar las opciones -all y -archive. Tuve que averiguar qué ficheros no analizaba por defecto. Utilicé varias opciones para conseguirlo. Aunque eventualmente conseguí al fin analizar e identificar todos los ficheros infectados, me costó mucho trabajo.
Listado 5: Ejemplo de salida de Vexira
01 Summary of scanned objects' types 02 ------------------------------03 files (total) | 68 04 in archives | 59 05 mail parts | 6 06 07 Summary of malware pieces found 08 ------------------------------09 iworm | 67 10 virus | 3 11 mutant | 1 12 13 Summary of actions taken on alert 14 ------------------------------15 skipped | 71 16 17 Error summary 18 ------------------------------19 inaccessible target | 2
disponibles hoy en día para comprobar que el fichero que se descarga es legítimo o no. Como el principal objetivo a la hora de instalar un antivirus es encontrar y eliminar virus y otros malware, uno no debería atascarse en detalles como los mencionados. Vexira encontró todos los virus al igual que los otros productos, que es el punto básico de un antivirus. Una de las cosas que realmente me gustaron de él fue el resultado del análisis. Cuando encuentra un virus, Vexira informa si es (por ejemplo) “eliminable” o “NO eliminable”. Además la herramienta lista el número de los diferentes malware que encuentra, como los gusanos de Internet, los virus e incluso las mutaciones. Esta característica es algo que parece ser único. A pesar de los inconvenientes que he encontrado con el antivirus Vexira, tengo una buena opinión del mismo, tanto en lo referente al aspecto técnico como al que se refiere a mi relación con la empresa en general. Recibí respuestas a mis consultas realizadas por correo electrónico mucho más rápidamente que con las otras empresas y están abiertos a sugerencias y a críticas.
Vexira
Este producto lo proporciona Central Command, Inc.. Me descargué la versión 1.2.0 del Antivirus Vexira Command Line Virus Scanner [8]. Vexira no se instala realmente en el sistema, sino que se descomprime el fichero y se obtienen todos los archivos que se necesitan para ejecutar el programa. Aunque esto puede que esté bien para un sistema personal gratuito, la verdad es que no me hace mucha gracia encontrármelo en un producto profesional. En comparación con otros productos, no hay muchas diferencias con respecto al antivirus Vexira. Además de la versión que me descargué, existen versiones para servidores de correo (incluso para Sendmail Milters), servidores Samba, y un producto simplemente para “Servidores Linux”. Inicialmente, la línea de comandos me pareció algo extraña. Cuando se ejecuta un comando, no es inmediatamente obvio qué opciones y en qué orden han de introducirse para obtener una lista de ficheros infectados. Por defecto, la herramienta se para en cada fichero infectado y le pregunta al usuario qué es lo que tiene que hacer.
Mi opinión personal es que cuando se analiza un sistema lo que uno quiere saber es si tiene o no virus, antes de realizar nada. El antivirus me preguntó por cada virus que encontró, lo cual me pareció algo molesto. Como los ordenadores son herramientas realmente cómodas, uno espera que simplemente “funcione” fácilmente sin tener que estar consultando toda la documentación para tener que hacer un simple análisis del sistema. Al contrario que otros productos, Vexira no posee un sistema automático de actualización de su base de datos de virus. En vez de ello, hay que descargárselo por medio de FTP e instalar la base de datos manualmente, reemplazando la base de datos existente. Según el vendedor, esta descarga por medio de FTP es necesaria por “razones de seguridad” en caso de que su servidor de DNS esté “hackeado”. Sin embargo, esto también es aplicable al servidor web, así que personalmente no veo ninguna ventaja real para requerir una descarga manual de la base de datos. Aunque un administrador típico de Linux debería ser capaz de realizar un script simple que realice todo esto de forma automática, hay suficientes mecanismos
No Hay una Única Solución
Como resumen tengo que decir que no he encontrado un único producto que sea “perfecto”. Como a menudo sucede con el software, hay que tomar una decisión sobre qué características son las más importantes para nosotros. Los productos que inmediatamente reconocen todos los virus puede que tengan características que no nos agraden del todo, y dependiendo de nuestras necesidades, un producto podría tener una característica que lo distinga de I los demás.
RECURSOS
[1] Bitdefender: http://www.bitdefender. com [2] Clam AV: http://www.clamav.net [3] F-Prot: http://www.f-prot.com [4] F-Secure: http:// www.f-secure.com [5] H+BEDV: http:// www.hbedv.com [6] Kaspersky: http:// www.kaspersky. com [7] Sophos: http:// www.sophos.com [8] Vexira: http:// www.centralcommand. com
20
Número 15
WWW.LINUX- MAGAZINE.ES
07.02.2006
16:22
Uhr
Página
16
PORTADA • Antivirus
Antivirus para Linux
ANTIVIRUS
Así que desea un antivirus ¿no? A continuación vamos a mostrar lo que hemos encontrado tras realizar una gira en busca de los mejores antivirus para la plataforma Linux. POR JAMES MOHR
esde el famoso virus Bliss a principios de 1997, la prensa ha estado bastante tranquila en relación con los virus para la plataforma Linux. Sin embargo, dependiendo de la fuente a la que se consulte, se habla desde una docena hasta 400 virus, troyanos y otra clase de malware que es capaz de infectar sistemas Unix y Linux. Comparado con las decenas de miles de virus, gusanos y otras clases de infecciones que afectan a Windows, en Linux esta cantidad es bastante pequeña y las ocasiones de ser infectado por un virus son mucho menores. Pero como se aprendió en el artículo anterior, los antivirus para Linux son bastante importantes.
D
cada semana, es una motivación para disponer de una buena solución con la que combatir los virus. Cuando comencé este proyecto tan sólo esperaba encontrar unas pocas empresas que proporcionaran versiones de sus productos antivirus para Linux. Mientras llevaba a cabo la búsqueda, algunas empresas parecían que simplemente habían saltado a la moda de Linux, pero también encontré varias que poseían una solución antivirus para Linux muy profesional y eficaz. En este artículo, voy a investigar algunos de los antivirus más populares del entorno Linux.
Consiguiendo un Antivirus
Si se está usando Linux como un servidor de ficheros o de correo electrónico en una empresa, realmente se debería considerar instalar un buen antivirus. En muchos casos, las docenas de virus que detecto
La Colección
Para el artículo, solamente he tenido en cuenta los productos que se podían descargar y usar gratuitamente, incluso si la versión disponible era simplemente una copia de evaluación. No he tenido en cuenta aquellos productos que sólo esta-
ban disponibles en CDs que había que solicitar. Los productos que solamente están disponibles en CDs son una excepción, porque he logrado bajarme una gran cantidad de antivirus. En algunos casos, existían versiones más avanzadas para los servidores de ficheros o de correo que no estaban disponibles para ser descargadas desde la web. Además de analizar productos que fueran capaces de identificar y eliminar los virus en nuestro laboratorio, también he evaluado la facilidad de uso de los mismos. Se espera que la instalación y el uso de los productos comerciales sean fáciles. No hay que ser un administrador de sistemas experimentado para poder instalarlo. Mi intención original fue hablar sobre versiones de “estaciones de trabajo”, pero no todas las empresas disponen de versiones de este tipo y en estos casos, elegí un producto cuya apariencia y funcionalidad fuera similar.
16
Número 15
WWW.LINUX- MAGAZINE.ES
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
17
Antivirus • PORTADA
BitDefender
La versión para Linux que descargué era BitDefender-Console-Antivirus-7.0.1-3, que venía como un fichero RPM. Aunque BitDefender [1] no soporta un amplio rango de sistemas operativos como lo hacen otros vendedores, proporciona un buen número de variantes de sus productos. Por ejemplo, disponen de versiones para Sendmail y Sendmail Milters, Qmail, Postfix y Courier. Además de los antivirus para Linux, también proporcionaban versiones gratuitas de sus antivirus para Windows. Aunque la realización del primer análisis fue más sencillo que con otros productos, el único fichero que BitDefender identificó inicialmente como virus fue el fichero de pruebas EICAR. Además de esto, la ayuda en línea no coincidía con la página man. Se hizo uso de un comando extraído de la página man que se suponía que incluía los archivos comprimidos, pero no fue analizado ningún fichero .zip. El antivirus no comenzó a analizar otros ficheros que no fueran los típicos ficheros ejecutables Windows (los terminados en .exe, .com, .bat) hasta que se usó la opción --all. Sin embargo, resultó bastante interesante que, incluso sin la opción --all, analizara los ficheros letter32.txt y body2.doc. Incluso cuando se usó --all, no funcionó todo como se esperaba. El antivirus informó que el fichero every.zip estaba “OK”, a pesar del hecho de que otros productos lo identificaban como infectado. Cuando se renombraba a .exe o .doc, el fichero era analizado e identificado como comprimido, y los ficheros comprimidos que contenía dentro se analizaban y se detectaba que estaban infectados, como lo habían identificado los otros productos.
Listado 2: Ejemplo de Salida de ClamAV
01 ----------- SCAN SUMMARY ----------02 Known viruses: 40507 03 Engine version: 0.86.2 04 Scanned directories: 1 05 Scanned files: 69 06 Infected files: 69 07 Data scanned: 4.91 MB 08 Time: 3.705 sec (0 m 3 s)
Listado 1: Ejemplo de Salida de BitDefender
01 Results: 02 Folders :1 03 Files :64 04 Packed :0 05 Infected files :32 06 Suspect files :0 07 Warnings :0 08 Identified viruses:7 09 I/O errors :2
Descubrí que el fichero de configuración contenía una lista de “extensiones” que el programa utilizaba para decidir si debía o no analizar un fichero. Cuando añadí “zip” a la lista, los ficheros se escasearon e identificaron correctamente. Parecía como si al no estar en la lista de “extensiones conocidas” el fichero no era analizado por defecto. Considerando que Linux no funciona con extensiones de ficheros tal como lo hace Windows y éste es un antivirus Linux, parecía como si el antivirus estuviese analizando ficheros en una máquina Windows. En comparación con otros productos, el fichero de configuración principal contiene solamente algunas opciones, aunque la mayoría de ellas eran autoexplicativas. Sin embargo, la documentación no explica cómo añadir opciones por defecto a este fichero al comienzo (incluso ni esta opción es posible). Con toda honestidad, tengo que decir que BitDefender es muy rápido analizando el correo. Algo que no ocurre con todos los demás productos. En su respuesta, admitieron que la documentación tenía que aclararse y fueron muy diligentes resolviendo los problemas. Aunque tuve problemas haciendo que el producto se ejecutara en condiciones, una vez que me hice una idea de cómo funcionaba, identificó todos los virus correctamente. Y como eso es la clave, creo que se debe considerar en serio a BitDefender, especialmente porque la versión para Linux es gratuita para los usuarios domésticos.
Clam AV
Clam AV [2] fue el único antivirus de Código Abierto que encontré. Inicialmente pensé que sería necesario recompilarlo o que tan sólo podría instalarlo en unas
pocas distribuciones, Para mi sorpresa, disponen de paquetes para la mayoría de las distribuciones Linux, además de para otros muchos sistemas operativos como Solares, AIX, FreeBSD e incluso BeOS. Existen versiones de Clam AV específicas para Sendmail Milters, además de para distintas versiones Windows, así como una versión “nativa” y otra versión que es parte del repositorio oficial Cygwin. Tras descargar e instalar el paquete RPM de clamav-0.86.2 y, al contrario que con otros productos, las páginas man se instalaron como debían; también man -k clam mostró todas las páginas. Realizar el primer análisis fue muy sencillo. Clam AV reconoció todos los virus, algo que no hicieron todos los productos comerciales. No se puede hablar exactamente de versiones para estaciones de trabajo y versiones para servidores de Clam AV, ya que se obtiene todo el software en un simple paquete. Además del típico análisis desde la línea de comandos, también incluía clamd, un servicio multihebra que permite el análisis para sistemas Linux y FreeBSD. El servicio clamd requiere que se compile e instale el módulo del kernel Dazuko. Aunque Clam AV no posee un gran número de opciones para la línea de comandos, definitivamente se mantiene a la altura de los productos comerciales con respecto a las opciones de configuración. Desafortunadamente, parece que no hay un fichero de configuración para especificar el comportamiento que se desee por defecto. Por ello, hay que especificar las opciones cada vez que se ejecute el programa. Pero es bastante sencillo escribir un script que realice esta tarea y no voy a desmerecer a ClamAV por ello. clamd y su programa de actualización posee ficheros de configuración, cada uno de ellos con un amplio rango de opciones. El analizador de la línea de comandos proporciona un par de buenas características. Por ejemplo, se pueden analizar los ficheros enviándolos a la entrada estándar de clamscan (por ejemplo, cat fichero | clamscan -). Aunque otros productos terminan con diferentes códigos de salida, dependiendo de si encontraron un virus o si se produjo un error, Clam AV proporcionó detalles del significado de estos códigos, una característica que pareció ser única entre todos los productos examinados. Ambas características permiten a Clam AV ser fácilmente integrado dentro de otras aplicaciones como servidores de correo.
WWW.LINUX- MAGAZINE.ES
Número 15
17
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
18
PORTADA • Antivirus
F-Prot
F-Prot [3] de FRISK Software Internacional es quizás el antivirus más conocido para sistemas Linux. En un tiempo, el analizador de virus de F-Prot fue el único antivirus para Linux que estaba disponible gratuitamente para los usuarios domésticos. Aunque ya no es el único de este tipo, el antivirus F-Prot es aún gratuito y no dispone de fecha de caducidad para los usuarios domésticos. Existen versiones disponibles para Windows, para distintas versiones de UNIX y para eServers de IBM. Descargué e instalé la versión gratuita para estaciones de trabajo, conocida como versión 4.6.0. El producto venía como un paquete RPM. No había ficheros extras que contuviesen PDF, README o algo similar. En vez de ello, tuve que mirar en los ficheros que contenía en el paquete RPM para ver qué documentación estaba disponible y también para determinar qué programa tenía realmente que ejecutar para comenzar. Parece que hay que adivinar el comportamiento de algunas de las opciones, ya que F-Prot dispone de una documentación muy limitada en comparación con la de otros productos. Aunque la documentación es suficiente para hacer que el producto funcione, no proporciona mucho más. También, las páginas man de F-Prot hacen referencia a una página man que explica el fichero principal de configuración (f-prot.conf), que no está incluida aunque el fichero si que está. El número de opciones disponible es comparable con el de algunos productos comerciales, y en algunos casos, F-Prot es más fácil de usar. Mirando el fichero de configuración, se encuentran opciones que parecen que sólo se pueden aplicar a un servicio del sistema o a otro programa que se esté ejecutando en un servidor de ficheros o de correo, implicando que la versión gratuita es una versión simplificada de otro producto. Todos los virus fueron correctamente identificados por F-Prot. Si el reconocimiento de virus es la clave, entonces vale la pena tener en cuenta a FProt.
F-Secure
F-Secure [4] posee quizás el mayor surtido de productos antivirus. Por ejemplo, su antivirus Suite F-Secure Enterprise contiene productos que van desde Windows Profesional a Servidores Citrix, pasarelas Linux, servidores Samba y muchos más.
Se descargó la versión 4.52 de estaciones de trabajo para 30 días. Esta versión venía como un fichero .tgz con un script con un binario embebido. En las instrucciones, F-Secure decía que para eliminar el producto “simplemente hay que borrar el directorio de instalación”. Sin embargo, la eliminación deja algunos ficheros por el sistema. Sugieren que se use find para buscar estos ficheros, algo que no esperaba encontrarme en un producto comercial. Durante la instalación, me alegró ver que se pedía al usuario que definiera ciertas opciones sobre el comportamiento del programa. Sin embargo, al contrario que otros productos, el número de opciones está reducido al mínimo. No fue de mi agrado descubrir que esta versión no analizaba correctamente varios virus que estaban en el interior de ficheros zip. Por el contrario, informaba de un “error interno”. Esto sucedió en los mismos ficheros que los antivirus gratuitos y todos los otros antivirus comerciales habían informado de la presencia de virus. Para un producto comercial, el no reconocer todos los virus es inquietante y no encontré nada en el sitio web de F-Secure que me ayudara a resolver este problema. Además del analizador de la línea de comandos, también posee un servicio, que se ejecuta por medio de un script rc o con el analizador de la línea de comandos. Esta versión también proporciona un script, que inserta un trabajo en el cron con el objeto de que analice o actualice la base de datos. Aunque se espera que un buen administrador sea capaz de insertar una entrada en crontab, encuentro esta característica útil, ya que guía al usuario por todos los pasos necesarios. El fichero de configuración proporciona un gran número de diferentes configuraciones, incluyendo qué directorios se tienen que analizar y cuales no, qué utilidad de syslog usar (si así es como se quiere registrar la actividad del antivirus), qué acciones tiene que tomar, las extensiones de los ficheros a analizar, etc. Al contrario que otros productos, por defecto, fsav también analiza los ficheros sin extensiones.
Listado 3: Ejemplo de Salida de F-prot
01 Results of virus scanning: 02 03 Files: 71 04 MBRs: 0 05 Boot sectors: 0 06 Objects scanned: 129 07 Infected: 67 08 Suspicious: 1 09 Disinfected: 0 10 Deleted: 0 11 Renamed: 0 12 13 Time: 0:01
AntiVir
Antivir fue desarrollado por H+DEDV Datentechnik GMBH [5]. El antivirus AntiVir se proporciona por defecto con muchas de las versiones de Linux SuSE,
también está disponible gratuitamente en su sitio web para uso doméstico. Intenté durante varios días descargarme la versión gratuita, no comercial, desde la web, pero recibí repetidamente errores del servidor, así que finalmente opté por descargar la versión “Professional” 2.1.4.8, que está disponible por un período de evaluación de 30 días. Mi negativa impresión inicial se debió al hecho de que incluso en su página “business solutions” parecía que el texto estaba traducido por alguien cuyo idioma nativo no era el inglés. En algunos casos, no podía comprender lo que estaban intentando decir. Estos problemas se extendían a la documentación online e incluso al script de instalación. Mi versión de Linux me proporciona una “licencia de evaluación” de AntiVir, y como ya tenía el producto instalado, supuse que lo mejor que podía hacer era desinstalar primero la versión previa. Aunque parecía que rpm había eliminado todos los ficheros, la base de datos RPM aún creía que el paquete estaba instalado, así que aparentemente algo iba mal. Parece que no está clara la forma en la que hay que desinstalar completamente el antivirus, y la respuesta del equipo de soporte de H + BEDV no fue muy útil. Como realmente no había comprado el producto, se ejecutó en modo “DEMO”. Esto significa que no era capaz de actualizar las definiciones de los virus. Afortunadamente, todos los virus que tenía eran lo suficientemente antiguos y estaban incluidos en la lista de definiciones, pero si el lector está planeando probar
18
Número 15
WWW.LINUX- MAGAZINE.ES
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
19
Antivirus • PORTADA
Listado 4: Ejemplo de Salida de Sophos
01 67 files swept in 2 seconds. 02 2 errors were encountered. 03 60 viruses were discovered. 04 60 files out of 67 were infected. 05 Please send infected samples to Sophos for analysis. 06 For advice consult www.sophos.com, email [email protected] 07 or telephone +44 1235 559933 08 End of Sweep.
Antivirus Kaspersky
La versión para estaciones de trabajo Linux está disponible para ser descargada y utilizada durante un período de 30 días. Me descargué la versión 5.5-2. De los productos que miré, Kaspersky [6] fue sin dudas el que me dio la impresión de ser el producto más profesional. Aunque no quiero dar la impresión de que los otros no eran profesionales, Kaspersky fue quizás el paquete más completo de los que miré, y me refiero tanto a las características como a la presentación. Además de la versión para las estaciones de trabajo, Kaspersky dispone de versiones para servidores de ficheros tanto para plataformas Linux como para UNIX; la versión para el servidor de correo soporta tanto Sendmail como Qmail. También está disponible una versión para Sendmail Mister y una versión para el servidor Samba. Dependiendo del producto que se seleccione, dispone de un número diferente de paquetes con licencias predefinidas. Dentro del paquete que se descarga va un fichero PDF de 68 páginas, que por supuesto sobrepasaba la documentación proporcionada por otros productos. El fichero .tgz que me descargué contenía ficheros rpm, deb y tar.gz, así que instalé el RPM. Durante el proceso de instalación el programa me preguntó si deseaba instalar el módulo Webmin acompañante. Si no se instala Webmin en este momento, se puede instalar posteriormente. La versión para estaciones de trabajo también proporciona un servicio, que se ejecuta desde un script rc. Este servicio intercepta las operaciones del sistema de ficheros antes de que las aplicaciones puedan acceder. De forma general, esta función es muy útil, pero hay aplicaciones que se “cuelgan” si el servicio se está ejecutando e intentan acceder a un fichero infectado. También me di cuenta cuando estaba funcionando en mi sistema, que el rendimiento se veía afectado significativamente en algunos momentos cuando se estaba ejecutando kavmonitor. En algunos casos, la carga de la CPU llegaba casi al 100%, sin embargo, no me echaron atrás estas caídas ocasionales del rendimiento. El fichero de configuración es muy extenso, con todas las opciones que uno espera, además se le puede indicar que ejecute un programa particular dependiendo de si ha identificado un virus o si simplemente tiene alguna sospecha. Por ejemplo,
este antivirus en el futuro, esto podría ser un problema. Aunque el texto de la instalación, README y demás estaban en inglés, el producto tan sólo proporcionaba una versión en alemán del manual de usuario en PDF del “UNIX Server”. Cuando por fin fui capaz de descargar la versión personal, no tenía forma de desinstalar la versión profesional. No tenía instalado un RPM y lo único que encontré en la documentación o en el sitio web indicaba que la actualización se realizaba simplemente ejecutando de nuevo el script de instalación, así que eso fue lo que hice. Se identificó que ya había una versión instalada y trató de actualizarla. Como la versión personal viene con una clave, ya no volví a recibir más el mensaje indicando que era una versión de demostración. Si esto era o no el procedimiento correcto, es algo que no está todavía claro con el correo recibido del departamento de soporte de H + DEV. En comparación con otros softwares, la instalación se llevó algo más de tiempo porque el programa realiza multitud de preguntas al usuario sobre la configuración del mismo. Para la versión profesional, comprendí e incluso aprecié cosas como ésta. Sin embargo algunas de las cuestiones eran preguntas que un usuario normal no comprendería muy bien, así que la versión “personal” fue más una molestia que otra cosa. Parte del producto es AvGuard, que proporciona análisis de ficheros en tiempo real y requiere que se compile el módulo del kernel Dazuko, que fue originalmente desarrollado por H + DEDV.
se puede enviar una notificación por correo electrónico al root, escribir una entrada en el syslog, etc. Tuve algunos problemas ejecutando un análisis conectado con un usuario distinto del root. Basado en algunas opciones del fichero de configuración por defecto, no fui capaz de escribir en un par de ficheros. Sin embargo, se le puede indicar al antivirus que lea de un fichero de configuración diferente, y para ello tiene que escribir en diferentes ficheros, para lo cual es necesario que la cuenta tenga los permisos necesarios. Las opciones de la línea de comandos son intimidatorias, simplemente porque hay infinidad de opciones, pero la documentación proporciona buenos ejemplos con los que empezar. No hace falta decir que identificó con toda precisión todos los virus que había en el sistema. El sistema de actualización es tan bueno como el programa y permite realizar actualizaciones automáticas de la base de datos de virus, incluso a través de un servidor proxy protegido con contraseña.
Sophos
Este producto lo proporciona Sophos PLC [7]. Encontrar la versión apropiada en la web no fue una tarea sencilla, ya que terminé suponiendo que “Otros” significaba Linux. En este caso, “Otros” también significa otros sistemas operativos diferentes de Windows, entre ellos la mayoría de los vendedores UNIX e incluso SCO. También encontré una versión para OpenVMS. No estaba muy seguro de la versión que me descargué, ya que el fichero tenía el nombre linux.intel.libc6.glibc.2.2.tar.Z. Después de instalarlo, me enteré que la versión del antivirus era la 3.97.0. La instalación fue bastante simple, pero al contrario que otros productos, Sophos requiere que primero se cree de forma manual un usuario y un grupo especial. Luego se ejecuta el script, que parece que simplemente se limita a copiar los ficheros en los directorios apropiados, no es un paquete RPM. La desinstalación del producto tiene que realizarse manualmente siguiendo una lista de ficheros y directorios que deben borrarse. La realización manual del primer análisis no fue tan sencilla como la realizada con otros productos, ya que no estaba claro qué programa había que ejecutar para comenzar el proceso. Como no dispone de ningún fichero RPM, no pude revisar el
WWW.LINUX- MAGAZINE.ES
Número 15
19
016-020_Antivirus
07.02.2006
16:22
Uhr
Página
20
PORTADA • Antivirus
contenido de ninguna página man. Tan sólo me llevó unos minutos averiguarlo. Aunque instalé el producto como root, se me presentaron algunos problemas cuando intenté ejecutar el primer análisis, ya que informaba de un directorio inexistente. Después de intentarlo unas cuantas veces, al fin conseguí echarlo a andar. El por qué no existían estos directorios en el sitio web de Sophos es algo que no se explica. Recibí una respuesta rápida de Sophos cuando les envié un correo preguntándoles por estos directorios y fueron de gran ayuda a la hora de resolver este problema. El primer análisis fue fácil y la herramienta rápidamente analizó mis ficheros infectados. Sin embargo, se “saltó” cinco de los ficheros y no identificó los virus en otros cinco ficheros. Cuando usé la opción -all, parecía que no analizaba algunos ficheros por defecto. Así que para que el antivirus analice todos los ficheros hay que utilizar las opciones -all y -archive. Tuve que averiguar qué ficheros no analizaba por defecto. Utilicé varias opciones para conseguirlo. Aunque eventualmente conseguí al fin analizar e identificar todos los ficheros infectados, me costó mucho trabajo.
Listado 5: Ejemplo de salida de Vexira
01 Summary of scanned objects' types 02 ------------------------------03 files (total) | 68 04 in archives | 59 05 mail parts | 6 06 07 Summary of malware pieces found 08 ------------------------------09 iworm | 67 10 virus | 3 11 mutant | 1 12 13 Summary of actions taken on alert 14 ------------------------------15 skipped | 71 16 17 Error summary 18 ------------------------------19 inaccessible target | 2
disponibles hoy en día para comprobar que el fichero que se descarga es legítimo o no. Como el principal objetivo a la hora de instalar un antivirus es encontrar y eliminar virus y otros malware, uno no debería atascarse en detalles como los mencionados. Vexira encontró todos los virus al igual que los otros productos, que es el punto básico de un antivirus. Una de las cosas que realmente me gustaron de él fue el resultado del análisis. Cuando encuentra un virus, Vexira informa si es (por ejemplo) “eliminable” o “NO eliminable”. Además la herramienta lista el número de los diferentes malware que encuentra, como los gusanos de Internet, los virus e incluso las mutaciones. Esta característica es algo que parece ser único. A pesar de los inconvenientes que he encontrado con el antivirus Vexira, tengo una buena opinión del mismo, tanto en lo referente al aspecto técnico como al que se refiere a mi relación con la empresa en general. Recibí respuestas a mis consultas realizadas por correo electrónico mucho más rápidamente que con las otras empresas y están abiertos a sugerencias y a críticas.
Vexira
Este producto lo proporciona Central Command, Inc.. Me descargué la versión 1.2.0 del Antivirus Vexira Command Line Virus Scanner [8]. Vexira no se instala realmente en el sistema, sino que se descomprime el fichero y se obtienen todos los archivos que se necesitan para ejecutar el programa. Aunque esto puede que esté bien para un sistema personal gratuito, la verdad es que no me hace mucha gracia encontrármelo en un producto profesional. En comparación con otros productos, no hay muchas diferencias con respecto al antivirus Vexira. Además de la versión que me descargué, existen versiones para servidores de correo (incluso para Sendmail Milters), servidores Samba, y un producto simplemente para “Servidores Linux”. Inicialmente, la línea de comandos me pareció algo extraña. Cuando se ejecuta un comando, no es inmediatamente obvio qué opciones y en qué orden han de introducirse para obtener una lista de ficheros infectados. Por defecto, la herramienta se para en cada fichero infectado y le pregunta al usuario qué es lo que tiene que hacer.
Mi opinión personal es que cuando se analiza un sistema lo que uno quiere saber es si tiene o no virus, antes de realizar nada. El antivirus me preguntó por cada virus que encontró, lo cual me pareció algo molesto. Como los ordenadores son herramientas realmente cómodas, uno espera que simplemente “funcione” fácilmente sin tener que estar consultando toda la documentación para tener que hacer un simple análisis del sistema. Al contrario que otros productos, Vexira no posee un sistema automático de actualización de su base de datos de virus. En vez de ello, hay que descargárselo por medio de FTP e instalar la base de datos manualmente, reemplazando la base de datos existente. Según el vendedor, esta descarga por medio de FTP es necesaria por “razones de seguridad” en caso de que su servidor de DNS esté “hackeado”. Sin embargo, esto también es aplicable al servidor web, así que personalmente no veo ninguna ventaja real para requerir una descarga manual de la base de datos. Aunque un administrador típico de Linux debería ser capaz de realizar un script simple que realice todo esto de forma automática, hay suficientes mecanismos
No Hay una Única Solución
Como resumen tengo que decir que no he encontrado un único producto que sea “perfecto”. Como a menudo sucede con el software, hay que tomar una decisión sobre qué características son las más importantes para nosotros. Los productos que inmediatamente reconocen todos los virus puede que tengan características que no nos agraden del todo, y dependiendo de nuestras necesidades, un producto podría tener una característica que lo distinga de I los demás.
RECURSOS
[1] Bitdefender: http://www.bitdefender. com [2] Clam AV: http://www.clamav.net [3] F-Prot: http://www.f-prot.com [4] F-Secure: http:// www.f-secure.com [5] H+BEDV: http:// www.hbedv.com [6] Kaspersky: http:// www.kaspersky. com [7] Sophos: http:// www.sophos.com [8] Vexira: http:// www.centralcommand. com
20
Número 15
WWW.LINUX- MAGAZINE.ES
