No recuerdo la ultima vez que use un antivirus para mi estación de trabajo!, tal vez sea porque ya no uso Windows desde hace unos siete u ocho años, cuando decidí migrar a un sistema operativo mas limpio, sano, y altamente honesto con el usuario final, es decir, migre a GNU-Linux.

Sin embargo, con el pasar del tiempo, hemos visto como los virus y antivirus han proliferado en la nube, volviéndose un negocio cada día mas importante!.

Durante mi trabajo en la empresa XYZ, fueron muchos los proveedores que nos llegaron con soluciones de antivirus, algunos de ellos con muy buen éxito en mis pruebas de virus, algunos otros exageradamente caros y malos!

Bueno, dejemos a un lado el parloteo, y vayamos al asunto, la idea de esta guía, es demostrar como algunas empresas de software disfrazan las famosas actualizaciones de firmas como si fuera un texto plano que se baja a una maquina, y donde figuran las firmas de virus conocidos!. En realidad se esta bajando todo un archivo ejecutable, es decir un binario, que en su interior contiene las dichosas firmas, y que usa un frontend o interfaz gráfica para ser mas amistoso con el usuario final pero que en realidad no es necesaria y solo consume recursos innecesarios.

En mi investigación, con la ayuda y experiencia del grupo de trabajo que tuve en la empresa XYZ, pudimos observar el simple funcionamiento de los archivos contenidos en este archivo de “actualización”, donde se incluye un completo escanner antivirus por consola, con el que podremos saltarnos las pesadas interfaces gráficas de los antivirus y eliminar todas las amenazas de nuestra maquina totalmente gratis.

Recordemos que este procedimiento no es legal, es decir que no debe realizarse a menos que se tenga un contrato de soporte técnico valido y licencias de antivirus validos con McAfee.

De aquí en adelante no me hago responsable si decide hacer un acto ilegal para limpiar su equipo de virus, pues este documento pretende ser solamente académico, para que el usuario que desee aprender un poco mas del mundo de los antivirus y su funcionamiento.

El primer paso es ingresar a esta pagina:

A  continuación  debes  descargar  el  sdat###.exe  los  #  son  números  que  varían según la versión del sdat.

Descargamos este archivo.

Después  de  descargar  el  archivo,  lo  movemos  a  una  carpeta  ya  que  hay  que descomprimirlo y extrae varios archivos

Muy bien llego la hora de descomprimirlo.

En  la  consola  (ventana  negra)  ir  hasta  donde  está  el  archivo  descargado (sdat####.exe) y ejecutar:

sdat####.exe     /E

Sin las comillas

Anvitirus

Obteniendo la siguiente lista de archivos

Después de explorar un poco las opciones del archivo scan.exe, llego a la conclusión que solo es necesario ejecutarlo con los siguientes parámetros para hacer lo mismo que su contraparte con interface gráfica, pero sin los elevados consumos y sin “problemas” de licencia:

scan.exe /ADL /ALL /ANALYZE /CLEAN /DELETE /PROGRAM /SUB /UNZIP /PANALYZE /WINMEM /RPTERR /RPTCOR /RPTALL /report=c:\scan.txt

Esto ejecuta un escaneo de todo el equipo ELIMINANDO todas las infecciones generando un reporte en “c:\scan.txt”

Conclusiones:

Las   empresas   de   antivirus  deberían  mejorar   el   sistema   de  actualización  de   las firmas de antivirus.

Las empresas deberían verificar con pruebas de desempeño sus antivirus, y dejar de   tratar   el   tema   de   seguridad   y   rendimiento   en  términos  monetarios   y   mas   en términos de beneficios para la red.

Creo firmemente que esta técnica puede ser usada con otro antivirus, ¿alguien mas se anima a probar?

Este articulo fue escrito por Eduardo Restrepo para La Comunidad DragonJAR