El documento describe los diferentes métodos utilizados por los antivirus para detectar malware, incluyendo el método de firmas basado en cadenas de bytes y métodos proactivos más complejos. También discute las limitaciones y debilidades del método de firmas, como que los archivos maliciosos pueden modificarse para cambiar las cadenas de bytes y evadir la detección. Luego, el documento presenta una demostración práctica de cómo modificar un troyano conocido para que no sea detectable por el antivirus Kaspersky.

1. Instituto Superior de Educación Publico Ayaviri

2. Poniendo a Prueba el Antivirus olas Introducción Las empresas fabricantes de antivirus no cejan su empeño de convencernos que su producto es todo lo que necesitamos para sentirnos a salvo contra los virus. Los Antivirus y sus Limitaciones Un Antivirus es uno de los programas de los que mas se ejecutan constantemente en nuestro ordenador, cuya misión es interceptar la ejecución de otros programas que el antivirus considera peligroso.

3. Poniendo a Prueba el Antivirus Método de Firmas En este método de detección básico que usan los antivirus del mercado. Eso no quiere decir que sea el único, ya que se considera que es el de mayor rapidez y fiabilidad dentro de sus limitaciones, este método consiste en que todos los archivos están formados por una serie de bytes ordenados. Método de Proactivos Los métodos proactivos son diferentes sistemas de detección que intentan identificar el software malicioso nuevo y que por tanto todavía no ha sido catalogado. Pero todo pro tiene “contras” y en ese caso la característica principal es también su principal problema: su tremenda complejidad y de esta complejidad se derivan oros problemas.

4. Poniendo a Prueba el Antivirus Debilidades del Método de Firmas Se basa en el reconociendo de bytes por parte del Antivirus sabiendo que el archivo modificado dejaría de contener la cadena catalogada por el Antivirus y por lo tanto dejaría de ser detectada como virus. Para conseguir cambiar una cadena detectada por Antivirus primero debemos encontrarla y eso no es tarea fácil. Es necesario localizar una serie particular de bytes (Normalmente unas pocas decenas) entre un autentico océano (Un ejecutable normal suele tener el orden de varios de cientos de miles de bytes, llegando fácilmente a millones de megas de bytes) cadena (serie o firma).

5. Poniendo a Prueba el Antivirus Demostración de Practica Convertiremos en indetectable para uno de los antivirus mas populares, el Kaspersky, a uno de los troyanos mas conocidos ente la sociedad. Por que es necesario necesitar un archivo que se ampliamente detectado por los antivirus. Y segundo por que es bastante limpio, es fácilmente eliminable una vez instalado tanto “a mano” como automáticamente desde su cliente . Este punto es importante por que será necesario para ejecutar el troyano para comprobar su correcto funcionamiento una vez modificada. Por no hablar del tremendo daño ajeno que podríamos causar si decidiríamos modificar un gusano y este acabara escapándose de nuestras manos e infectando ordenadores. Este ultimo además nos convertirá en delincuentes.

6. Poniendo a Prueba el Antivirus Preparando el Troyano El troyano Optix. Normalmente todos los troyanos al igual que las otras de acceso remoto se componen de dos programas distintos: El Cliente y el Servidor El cliente es el que ejecutamos en la maquina local y sirve para poder conectar al servidor. El servidor es la parte que será instalada en la PC remota y es donde realizaremos las modificaciones necesarias para que el antivirus no lo detecte.

7. Gracias

8. Integrantes ABEL MARRON CAHUANA 23 JUAN MICHELL QUISPE HUAMAN 29 ABNER ALFREDO FLORES QUISPE 14 ALAIN TICONA HERMOSILLA 36 ALEXANDER LIMA HUAHUASONCCO 18 GRUPO: Flamhel