Primero en Fprot en una de las pegas mas gordas que le veo a estos av's, cuando alguien quiera contaminar un pc con un virus conocido por los antivirus, solo tiene que coger versiones de programa como el Protect o Crypt, o programas encriptadores de ejecutables, esta opcion es muy sencilla de utilizar y solo el Avp registrado tiene la utilidad de conseguir scanear ficheros bajo algunos de los programas que menciono, pero aun asi el avp registrado tiene problemas cuando se trata de ficheros protegidos con esos programas y si se alteran el orden de la rutina de desencriptado, porque cuando ocurre eso, el antivirus no consigue leer completamente el fichero y lo da por valido, asi pues AVP cubre este error que presento aqui, pero no en su totalidad. Cogi un virus "CRYPT.COM Infection: MtE", este virus fue localizado perfectamente en la primera lectura del directorio. Log. Fprot226 -------------------------------------------------------------------------- Virus scanning report - 13. May 1997 13:24 F-PROT 2.26 created 24. February 1997 Virus search strings created 21. February 1997 Method: Secure Scan Search: C:\PRUEBAS Action: Report only Targets: Boot/File/Packed/Docs Files: Standard executables Command-line arguments: Scanning MBR of hard disk 1 Scanning boot sector C: C:\PRUEBAS\CRYPT.COM Infection: MtE -------------------------------------------------------------------------- Todo ok, ahora el problema, si ese virus o el programa que se quiere introducir en un pc, o viene desde fuera va cubierto con esta version o cualquiera de las anteriores del Protect, tenemos el siguiente resutado. -------------------------------------------------------------------------- ÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜ Protect! EXE/COM v.5.0 (C) 1993,1994 Jeremy Lilley, All Rights Reserved This is an UNREGISTERED copy of Protect! EXE/COM. Protect! EXE/COM can dramatically improve the security of your EXE and COM files and save you the hours and hours trying to create your own file security schemes. Unlike any other program, Protect! EXE/COM: ÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜ -------------------------------------------------------------------------- Virus scanning report - 13. May 1997 13:24 F-PROT 2.26 created 24. February 1997 Virus search strings created 21. February 1997 Method: Secure Scan Search: C:\PRUEBAS\CRYPT.COM Action: Report only No viruses or suspicious files/boot sectors were found. -------------------------------------------------------------------------- Se ve que no localiza ningun virus en ese fichero, cuando es evidente que esta ahi y totalmente activo y operativo, un antivirus permite que no se localice ese virus simplemente por no estar al dia en los programas que pueden ser utilizados para cubrir codigo de seguridad. Ahora Avplite 3.0. Ocurre lo mismo que con el fprot 226, ese fichero sin codificar y con el fichero codificado. -------------------------------------------------------------------------- ÛßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßÛ Û AVPLite ³ Antiviral Toolkit Pro Û Registered to: Û build ³ by Eugene Kaspersky Û Û 109 ³ Version 3.0 Û Evaluation version Û ÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Û Not for commercial use Û (c) KAMI Corp., Russia, 1992-97 Û EVAL0497L ÛÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÛ þ XMS version 3.00 detected þ Total 9817 known viruses þ Press to abort... C:\PRUEBAS\CRYPT.COM : infected by MtE.Dedicated.a Detected: 1 viruses Scanned: 1 files 5 Kbytes Scan time: 00:00:00 -------------------------------------------------------------------------- Lo pilla todo ok, el av funciona correctamente, pero como es la version de evaluacion, es muy facil superar este punto del antivirus, de la misma forma que antes. Aplicamos el protect al fichero CRYPT.COM ÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜ Protect! EXE/COM v.5.0 (C) 1993,1994 Jeremy Lilley, All Rights Reserved ÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜ -------------------------------------------------------------------------- ÛßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßÛ Û AVPLite ³ Antiviral Toolkit Pro Û Registered to: Û build ³ by Eugene Kaspersky Û Û 109 ³ Version 3.0 Û Evaluation version Û ÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Û Not for commercial use Û (c) KAMI Corp., Russia, 1992-97 Û EVAL0497L ÛÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÜÛ þ XMS version 3.00 detected þ Total 9817 known viruses þ Press to abort... No viruses detected Scanned: 1 files 6 Kbytes Scan time: 00:00:00 -------------------------------------------------------------------------- No hay virus en ese fichero cuando es evidente de que esta. Como tengo el AVP2.2 version registrada, esta prueba ya la hice en su momento y el avp tambien fracaso en este aspecto solo conseguia localizar el virus si reconocia el Programa protector, en el caso de este virus en especial. crypt1.com : virus MtE.Dedicated.a detectado. crypt2.com El crypt1.com contiene el virus sin codificar por protect, y el crypt2.com esta codificado, todo en el directorio C:\Pruebas. El resultado es que existiendo dos copias del virus en el mismo directorio el AVP 2.2. en el modo mas potente. Test modo: Analizador Alarmas Lento Desempaquetar Descomprimir No localiza nada en el fichero crypt2.com cuando es tan operativo como el primero. -------------------------------------------------------------------------- ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º Antiviral Toolkit Pro º º by Eugene Kaspersky º º Version 2.2 º º º º (c)KAMI Corp., Russia 1992-1995. º º º º Written by Eugene V. Kaspersky º º Alexey N. de Mont de Rique º º Vadim V. Bogdanov º º º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Informe: Tue May 13 13:45:07 1997 ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±± Informaci¢n del escaneo: Test modo: Analizador Alarmas CRC ßßßßßßßßßßßßßßßßßßßßßßß C:\PRUEBAS (*.exe *.com) ßßßßßßßßßßßßßßßßßßßßßßß C:\PRUEBAS crypt1.com : virus MtE.Dedicated.a detectado. Test modo: Analizador Alarmas Lento Desempaquetar Descomprimir ßßßßßßßßßßßßßßßßßßßßßßßß C:\PRUEBAS (Programas) ßßßßßßßßßßßßßßßßßßßßßßßß C:\PRUEBAS crypt1.com : virus MtE.Dedicated.a detectado. -------------------------------------------------------------------------- En definitiva, el problema real es que esto se pueda hacer y no hace falta saber nada de nada, simplemente conseguir el protect. que es share y un virus patata cualquiera, aunque sea detectado y totalmente catalogado. Asi que, claro esta que el antivirus una vez que el hd este contaminado por algunos ficheros saltara el correspondiente positivo de ese virus pero nos encontramos con que no podemos localizar el programa donde viene el virus, con la conseguiente vuelta a empezar y el virus si continua en nuestro hd cubierto por estos programas no sera localizado. Vaya, que los av's deberian incluir en las cadenas de scaneo los programas encargados de proteger codigo para que no sea debugeado, asi se ahorran este tipo de problemas.