Incorporación de ClamAV y mejoras en VirusTotal

CortafuegosSeguridad

Junto a la incorporación de ClamAV, detector Open Source, en las últimas semanas se han llevado a cabo mejoras adicionales en VirusTotal.

Destacan la actualización del motor de NOD32 con activación de heurística avanzada, integración completa de Norman incluyendo función Sandbox, y corrección del módulo de actualización de BitDefender.

A continuación un ejemplo de respuesta de VirusTotal al enviar el archivo de prueba EICAR:

BitDefender 7.0/20040705 ha detectado [EICAR-Test-File (not a virus)]

ClamWin devel-20040517/20040706 ha detectado [Eicar-Test-Signature]

eTrustAV-Inoc 4641/20040704 ha detectado [EICAR test file]

F-Prot 3.14e/20040705 ha detectado [EICAR_Test_File]

Kaspersky 3.0/20040706 ha detectado [EICAR-Test-File]

McAfee 4373/20040705 ha detectado [EICAR test file]

NOD32v2 1.804/20040705 ha detectado [Eicar test file]

Norman 5.70.10/20040705 ha detectado [EICAR_Test_file_not_a_virus!]

Panda 7.02.00/20040705 ha detectado [EICAR-AV-TEST-FILE]

Sybari 7.50.1138/20040706 ha detectado [EICAR test file]

Symantec 8.0/20040705 ha detectado [EICAR Test String]

TrendMicro 1.00/20040705 ha detectado [Eicar_test_file]

En la primera columna encontramos el nombre de la casa antivirus o producto, a continuación el número de versión interna del motor seguido de la fecha de última actualización en formato año-mes-día, y finalmente el resultado del análisis.

En el caso de ClamAV se ha optado por ClamWin Free Antivirus, una implementación Win32 (como el resto de motores) de Clam AntiVirus, que a todos los efectos utiliza las mismas firmas proporcionando idénticos resultados de detección que su versión para Linux.

Actualmente, cada muestra enviada es analizada por 18 motores antivirus, 14 de ellos diferentes. Debemos tener en cuenta que la implementación de Antigen de Sybari en VirusTotal engloba a los motores de VirusBuster, Sophos y CA-Vet, además de los ya representados individualmente CA-InoculateIT, Kaspersky, Mcafee y Norman.

Para enviar una muestra sospechosa bastará con enviarla adjunta en un mensaje de correo electrónico a la dirección analiza@virustotal.com con el asunto ANALIZA. En breves instantes, dependiendo de la carga puntual del servicio, recibirá en su buzón el reporte del análisis.

También es posible realizar el envío de muestras desde un formulario web, recibir información puntual sobre las últimas amenazas, o acceder a estadísticas en tiempo real, todo desde la dirección http://www.virustotal.com