Estadística de virus
Por Fernando Bonsembiante
Para comprender realmente el fenómeno de los virus es
necesario saber que virus son los más comunes, y cuales
anti virus se usan normalmente. Una encuesta puede darnos
interesantes resultados.
Realizamos una encuesta sobre que anti virus se usa y que
ataques de virus se tuvieron. A la gente se le daba la
posibilidad de elegir sobre una lista pre determinada de
opciones, e indicar si usaba ese anti virus o si había
tenido a ese virus en su máquina. Los resultados son muy
reveladores.
Scan 290 51,33
DOS 6 (MSAV) 94 16,64
Norton 90 15,93
Central Point 41 7,26
TNT 5 0,88
Dr. Solomon 4 0,71
Otro 21 3,72
Ninguno 20 3,54
Total 565
Como vemos, el anti virus más usado es el Scan de McAfee,
por lejos. Las causas de esto son fáciles de imaginar,
podemos enumerar algunas: Permanencia en el mercado. El
Scan hace muchos años que es usado en la Argentina, fue
el primer anti virus conocido aquí. Es indudable que la
gente lo conoce y lo usa. Presencia en el mercado:
Tambien podemos ver que en muchas casas de computación o
de venta de shareware se ofrece el Scan. Es el anti virus
más conocido y ofrecido en todas partes. Facilidad de
obtención de los upgrades. Aparece un Scan
aproximadamente una vez por mes, y es muy fácil conseguir
la versión actualizada. Está en todos los BBS del país,
telefónicos y de packet. Todas las casas de shareware
tienen la última versión actualizada. Precio. El Scan es
gratis para los usuarios no comerciales, y barato para
las empresas. Representación. Hace muchos años que el
Scan tiene un representante en la Argentina, que se
encarga de la distribución. Se trata de Ran Ingeniería en
sistemas. Es uno de los primeros anti virus con
representación en Argentina.
Como vemos, algunas de las razones de su presencia en el
país pasan por la comodidad de su obtención. El Scan en
una época representaba el pico máximo de calidad en anti
virus que se podían conseguir en el país. En este momento
ya no lo es, teniendo anti virus como el F-Prot o Dr.
Solomon, que son superiores en la detección de virus
conocidos, y mucho más completos. Curiosamente, ambos
antivirus apenas son usados. El Dr. Solomon es comercial,
lo que explicaría que el usuario común prefiera usar uno
shareware o gratuito, y el F-Prot es muy nuevo y todavía
no es muy conocido. Es de esperarse que en el futuro
cercano ambos aumenten su presencia en el mercado. El
segundo anti virus más usado es el Microsoft Anti Virus.
Como este viene gratis en el DOS 6, es fácil ver que la
gente no evaluó su calidad sino la facilidad de su
obtención. Como el MSAV es famoso por sus falsas alarmas,
y además no es uno de los que más virus detecta, la única
explicación de su presencia es el excelente marketing de
Microsoft y que venga provisto con la última versión del
DOS. De todas formas, es notable que si bien una gran
cantidad de gente usa el DOS 6, sólo el 16,64 % de los
encuestados esté usando el MSAV. Es indudable que este
bajo porcentaje se debe a que la gente no tiene demasiada
confianza en este producto, y que prefiere a uno con
larga permanencia en el mercado como el Scan. Tambien el
tema de las actualizaciones es crítico en el momento de
decidir que anti virus usar. Como es muy difícil
conseguir actualizaciones del MSAV, la gente prefiere
utilizar el Scan. El Norton Anti Virus está en el tercer
puesto, y se explica por el hecho de que Symantec, la
empresa que lo produce, tiene una buena representación en
el país, y es fácil de conseguir. Tambien los productos
con la firma de Norton tienen una gran presencia en el
mercado nacional, desde hace mucho tiempo. Como vemos, el
factor determinante en la decisión sobre que anti virus
se usa pasa por la comodidad de conseguirlo, por su
presencia en el mercado y por la confianza que despierta
en el usuario, evaluada por el tiempo de permanencia. En
ningún momento se toma en cuenta la efectividad real del
anti virus.
Michelangelo 203 35,93
Stoned 188 33,27
512 (no. of the beast) 132 23,36
Jerusalem 67 11,86
Ping Pong (Italian boot) 67 11,86
Cascade 19 3,36
Dark Avenger 13 2,30
Antitel 8 1,42
Dir II 8 1,42
Flip 6 1,06
Frodo 2 0,35
Form 1 0,18
Otro 59 10,44
Con respecto a los virus existentes en el país, vemos que
los cinco más comunes son virus viejos y conocidos.
Ninguno tiene menos de tres años de existencia, lo cual
en el mundo de los virus significa mucho tiempo. Tampoco
son virus muy sofisticados. El único que tiene una
técnica sofisticada de los primeros cinco es el 512, que
es stealth. Viendo la lista en forma global, notamos que
la presencia de los virus de boot es muy importante. El
Stoned y el Michelángelo, ambos virus de boot, están muy
emparentados y son los dos primeros de la lista. A pesar
de los bugs del Stoned, que impiden una replicación muy
exitosa, es el segundo. Los bugs de este virus son que no
infecta correctamente discos de 3.5, y que en muchos
casos corrompe los directorios de los diskettes. Tambien
al infectar discos rígidos es común que queden inusables,
especialmente si estan formateados de formas no
convencionales. La presencia del Michelángelo en un
puesto tan alto se puede explicar por un lado por la
propaganda que recibió en 1992, lo que hizo que la gente
lo buscara especialmente, y lo encontrara. Por otro lado,
el virus se encontró en diskettes de instalación de
algunas PC importadas de Asia, por lo cual es de suponer
que mucha gente se contagió el virus directamente de ahí,
al comprar la PC con el virus incluido. El virus 512 es
stealth, o sea, muy difícil de detectar, lo que explica
su posición tan alta. Lo que es sorprendente es que
funciona sólo con DOS 3.x, y no funciona en DR DOS u
otras versiones del DOS. Para cualquier investigador
europeo de virus es sorprendente que el 512 haya tenido
tanta difusión en el país, ya que en Europa o en Estados
Unidos es casi desconocido. A pesar de los bugs que
tiene, se difundió rápidamente, y eso se debe a que
incluso hasta ahora se sigue utilizando en muchos lugares
el DOS 3.3, incluso la versión creada por Compaq (3.31)
que soporta particiones de más de 30 M, a diferencia de
la versión de Microsoft.
El siguiente es el Jerusalem, que es el segundo virus que
se conoció en el país. Por esto se puede explicar su
amplia difusión. La permanencia del virus, y el hecho de
que no causa demasiados problemas debidos a errores de
programación o colisiones con el sistema operativo pueden
explicar que sea tan común. Compartiendo el lugar con el
Jerusalem está el Ping Pong. Este comparte
características con el 512 y el Jerusalem, en cuanto a su
existencia en el ambiente informático local. Como el 512,
es raro que tenga un lugar tan preponderante porque éste
ataca sólo XT, y no funciona en AT y superiores. Pero,
como el Jerusalem, es uno de los virus que hace más
tiempo están en el país, probablemente sea el primero que
hubo aquí, y fue el primero que se conoció públicamente.
Como la encuesta no tuvo en cuenta el momento de la
infección, pueden tratarse de casos viejos de hace varios
años.
El resto de los virus no tienen demasiada influencia, y
están en un porcentaje bajo.
La conclusión que se puede sacar de todo esto es que en
Argentina tenemos virus característicos, no
necesariamente los hechos acá (ninguno de la lista es de
producción nacional), pero la proporción de cada virus es
distinta a la que se puede ver en otros países. Virus
comunes en Europa como el Tremor no aparece aquí, y un
virus como el 512 no aparece en otros países. Otros virus
son más universales, como el Michelángelo, que es el
primero en Argentina y que es muy común en otros países.
Para terminar, podemos observar que los virus de boot son
los más comunes en porcentaje de casos, y que los virus
nuevos no son tan importantes como se creía. Un virus,
para ser exitoso, debe permanecer años para superar a
estos. Es obvio que debemos cuidarnos principalmente de
estos virus viejos y conocidos, pero sin descuidarnos de
los virus nuevos.
Fernando Bonsembiante es jefe de redacción de Virus
Report y está estudiando los virus informáticos dese hace
varios años. Tambien es miembro de la comisión directiva
del Círculo Argentino de Ciencia Ficción, (CACyF) y
participa como columnista de varias revistas sobre
informática. Puede ser contactado por Fido en 4:901/303 o
en Internet en ubik@ubik.to