Antivirus en el mundo real

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

• Antivirus en el mundo real (I)
• Antivirus en el mundo real (II)
• Antivirus en el mundo real (III)