VR10: Estadística de virus
Para comprender realmente el fenómeno de los virus es necesario saber que virus son los más comunes, y cuales anti virus se usan normalmente. Una encuesta puede darnos interesantes resultados.
Realizamos una encuesta sobre que anti virus se usa y que ataques de virus se tuvieron. A la gente se le daba la posibilidad de elegir sobre una lista pre determinada de opciones, e indicar si usaba ese anti virus o si había tenido a ese virus en su máquina. Los resultados son muy reveladores.
Scan 290 51,33
DOS 6 (MSAV) 94 16,64
Norton 90 15,93
Central Point 41 7,26
TNT 5 0,88
Dr. Solomon 4 0,71
Otro 21 3,72
Ninguno 20 3,54
Total 565
Como vemos, el anti virus más usado es el Scan de McAfee, por lejos. Las causas de esto son fáciles de imaginar, podemos enumerar algunas: Permanencia en el mercado. El Scan hace muchos años que es usado en la Argentina, fue el primer anti virus conocido aquí. Es indudable que la gente lo conoce y lo usa. Presencia en el mercado: Tambien podemos ver que en muchas casas de computación o de venta de shareware se ofrece el Scan. Es el anti virus más conocido y ofrecido en todas partes. Facilidad de obtención de los upgrades. Aparece un Scan aproximadamente una vez por mes, y es muy fácil conseguir la versión actualizada. Está en todos los BBS del país, telefónicos y de packet. Todas las casas de shareware tienen la última versión actualizada. Precio. El Scan es gratis para los usuarios no comerciales, y barato para las empresas. Representación. Hace muchos años que el Scan tiene un representante en la Argentina, que se encarga de la distribución. Se trata de Ran Ingeniería en sistemas. Es uno de los primeros anti virus con representación en Argentina.
Como vemos, algunas de las razones de su presencia en el país pasan por la comodidad de su obtención. El Scan en una época representaba el pico máximo de calidad en anti virus que se podían conseguir en el país. En este momento ya no lo es, teniendo anti virus como el F-Prot o Dr. Solomon, que son superiores en la detección de virus conocidos, y mucho más completos. Curiosamente, ambos antivirus apenas son usados. El Dr. Solomon es comercial, lo que explicaría que el usuario común prefiera usar uno shareware o gratuito, y el F-Prot es muy nuevo y todavía no es muy conocido. Es de esperarse que en el futuro cercano ambos aumenten su presencia en el mercado. El segundo anti virus más usado es el Microsoft Anti Virus. Como este viene gratis en el DOS 6, es fácil ver que la gente no evaluó su calidad sino la facilidad de su obtención. Como el MSAV es famoso por sus falsas alarmas, y además no es uno de los que más virus detecta, la única explicación de su presencia es el excelente marketing de Microsoft y que venga provisto con la última versión del DOS. De todas formas, es notable que si bien una gran cantidad de gente usa el DOS 6, sólo el 16,64 % de los encuestados esté usando el MSAV. Es indudable que este bajo porcentaje se debe a que la gente no tiene demasiada confianza en este producto, y que prefiere a uno con larga permanencia en el mercado como el Scan. Tambien el tema de las actualizaciones es crítico en el momento de decidir que anti virus usar. Como es muy difícil conseguir actualizaciones del MSAV, la gente prefiere utilizar el Scan. El Norton Anti Virus está en el tercer puesto, y se explica por el hecho de que Symantec, la empresa que lo produce, tiene una buena representación en el país, y es fácil de conseguir. Tambien los productos con la firma de Norton tienen una gran presencia en el mercado nacional, desde hace mucho tiempo. Como vemos, el factor determinante en la decisión sobre que anti virus se usa pasa por la comodidad de conseguirlo, por su presencia en el mercado y por la confianza que despierta en el usuario, evaluada por el tiempo de permanencia. En ningún momento se toma en cuenta la efectividad real del anti virus.
Michelangelo 203 35,93
Stoned 188 33,27
512 (no. of the beast) 132 23,36
Jerusalem 67 11,86
Ping Pong (Italian boot) 67 11,86
Cascade 19 3,36
Dark Avenger 13 2,30
Antitel 8 1,42
Dir II 8 1,42
Flip 6 1,06
Frodo 2 0,35
Form 1 0,18
Otro 59 10,44
Con respecto a los virus existentes en el país, vemos que los cinco más comunes son virus viejos y conocidos. Ninguno tiene menos de tres años de existencia, lo cual en el mundo de los virus significa mucho tiempo. Tampoco son virus muy sofisticados. El único que tiene una técnica sofisticada de los primeros cinco es el 512, que es stealth. Viendo la lista en forma global, notamos que la presencia de los virus de boot es muy importante. El Stoned y el Michelángelo, ambos virus de boot, están muy emparentados y son los dos primeros de la lista. A pesar de los bugs del Stoned, que impiden una replicación muy exitosa, es el segundo. Los bugs de este virus son que no infecta correctamente discos de 3.5, y que en muchos casos corrompe los directorios de los diskettes. Tambien al infectar discos rígidos es común que queden inusables, especialmente si estan formateados de formas no convencionales. La presencia del Michelángelo en un puesto tan alto se puede explicar por un lado por la propaganda que recibió en 1992, lo que hizo que la gente lo buscara especialmente, y lo encontrara. Por otro lado, el virus se encontró en diskettes de instalación de algunas PC importadas de Asia, por lo cual es de suponer que mucha gente se contagió el virus directamente de ahí, al comprar la PC con el virus incluido. El virus 512 es stealth, o sea, muy difícil de detectar, lo que explica su posición tan alta. Lo que es sorprendente es que funciona sólo con DOS 3.x, y no funciona en DR DOS u otras versiones del DOS. Para cualquier investigador europeo de virus es sorprendente que el 512 haya tenido tanta difusión en el país, ya que en Europa o en Estados Unidos es casi desconocido. A pesar de los bugs que tiene, se difundió rápidamente, y eso se debe a que incluso hasta ahora se sigue utilizando en muchos lugares el DOS 3.3, incluso la versión creada por Compaq (3.31) que soporta particiones de más de 30 M, a diferencia de la versión de Microsoft.
El siguiente es el Jerusalem, que es el segundo virus que se conoció en el país. Por esto se puede explicar su amplia difusión. La permanencia del virus, y el hecho de que no causa demasiados problemas debidos a errores de programación o colisiones con el sistema operativo pueden explicar que sea tan común. Compartiendo el lugar con el Jerusalem está el Ping Pong. Este comparte características con el 512 y el Jerusalem, en cuanto a su existencia en el ambiente informático local. Como el 512, es raro que tenga un lugar tan preponderante porque éste ataca sólo XT, y no funciona en AT y superiores. Pero, como el Jerusalem, es uno de los virus que hace más tiempo están en el país, probablemente sea el primero que hubo aquí, y fue el primero que se conoció públicamente. Como la encuesta no tuvo en cuenta el momento de la infección, pueden tratarse de casos viejos de hace varios años.
El resto de los virus no tienen demasiada influencia, y están en un porcentaje bajo.
La conclusión que se puede sacar de todo esto es que en Argentina tenemos virus característicos, no necesariamente los hechos acá (ninguno de la lista es de producción nacional), pero la proporción de cada virus es distinta a la que se puede ver en otros países. Virus comunes en Europa como el Tremor no aparece aquí, y un virus como el 512 no aparece en otros países. Otros virus son más universales, como el Michelángelo, que es el primero en Argentina y que es muy común en otros países. Para terminar, podemos observar que los virus de boot son los más comunes en porcentaje de casos, y que los virus nuevos no son tan importantes como se creía. Un virus, para ser exitoso, debe permanecer años para superar a estos. Es obvio que debemos cuidarnos principalmente de estos virus viejos y conocidos, pero sin descuidarnos de los virus nuevos.
Fernando Bonsembiante es jefe de redacción de Virus Report y está estudiando los virus informáticos dese hace varios años. Tambien es miembro de la comisión directiva del Círculo Argentino de Ciencia Ficción, (CACyF) y participa como columnista de varias revistas sobre informática. Puede ser contactado por Fido en 4:901/303 o en Internet en ubik@ubik.to
