Algunos antivirus para Linux
La semana pasada habíamos hablado sobre si la necesidad de utilizar programas antimalware se extendía a todos los sistemas operativos. En este post recomendaremos algunos antivirus para Linux.
Debo decir que mi artículo anterior me convenció de la necesidad de usarlo. Intercambio bastantes archivos con usuarios de Windows e insisto, que en una red todos somos responsables por la seguridad.
Algunos antivirus para Linux
Tengo que mencionar que la oferta no es tan abundante como me esperaba (Al menos no en lo que se refiere a aplicaciones de código abierto), por lo que no puedo prometerles demasiada originalidad. A mí me gusta recomendar títulos nuevos, pero no puedo sacármelos de la manga.
ClamAV
Esta es la primera recomendación que encontrarás en cualquier recopilación que no esté auspiciada por una empresa desarrolladora de antivirus.
Se trata de un conjunto de herramientas controladas por una interfaz de línea de comandos cuyo objetivo es encontrar y combatir ataques de troyanos, virus, rootkits y gusanos y otro tipo de software malicioso.
Desde la ya mencionada interfaz de línea de comandos podemos tener actualizada la base de datos de firmas, escanear directorios y archivos y comprobar el contenido de los correos electrónicos
El programa cuenta con tres componentes:
- Motor de la aplicación: Es la parte del programa que se encarga de la detección del malware.
- Base de datos: Contiene la información necesaria para detectar el software malicioso.
- Interfaz de usuario: El programa viene con una interfaz de línea de comandos. Sin embargo se han desarrollado interfaces gráficas como ClamTK
Algunas características del programa son:
- Múltiples actualizaciones.
- Escaneo virtual de subprocesos múltiples (Investiga varios tipos de amenazas al mismo tiempo) lo que reduce el tiempo de análisis.
- Protección en tiempo real.
- Bases de datos de firmas completas y actualizadas.
- Puede escanear archivos comprimidos y sin comprimir.
ClamAV y ClamTK están en los repositorios de las principales distribuciones Linux.
Sophos
Y aquí caemos de lleno en los antivirus comerciales y, por supuesto, privativos. Aunque la licencia monousuaria es gratuita.
Quienes lo probaron dicen que Sophos es más difícil de configurar que ClamAV aunque si es más rápido. Hay que destacar que en lugar de utilizar el sistema de comprobación de firmas de ClamAV utiliza un análisis del comportamiento.
Rootkit Hunter
Volvemos, para no abandonarlas, a las aplicaciones de código abierto. Rootkit hunter es una herramienta que escanea el ordenador en busca de:
- Rootkit: Un tipo de malware que facilita el acceso no autorizado a partes sensibles del ordenador con fines delictivos.
- Backdoor: Son vulnerabilidades del sistema operativo u otro software que pueden ser utilizadas con fines delictivos.
- Exploit local: Es una forma de obtener de manera ilegítima privilegios de usuario administrador aprovechando vulnerabilidades de una aplicación que los obtuvo en forma legítima.
El programa utiliza una base de datos de malware previamente reportado y lo compara con el resultado del escaneo de los archivos.
Rootkit Hunter es ideal para su uso por usuarios novatos, aunque se maneje desde la línea de comandos.
Chkrootkit
Es una herramienta muy útil para detectar comportamientos anormales en el ordenador o cambios inexplicables en áreas sensibles del sistema. Sin embargo, no puede detectar automáticamente software malicioso no conocido y se requiere ejecutar comandos en modo experto para analizar binarios sospechosos.
Es otro programa que se ejecuta desde la terminal y está integrado por las siguientes herramientas:
- chkootkit: Es el script que se ocupa de chequear los binarios del sistema para ver si fueron modificados.
- ifpromisc.c: Chequea si la interfase está en modo promiscuo. En el modo promiscuo la interfaz de red pasa absolutamente todo el tráfico recibido a la unidad central de procesamiento ignorando las limitaciones establecidas. Normalmente se usa para realizar controles, pero también puede ser aprovechado por delincuentes.
- chklastlog.c: Busca si se borraron entradas en el registro de actividades.
- chkwtmp.c: Detecta si se borraron datos en el registro de inicio y cierre de sesión.
- chkproc.c: Busca señales de actividad del troyano LK en los procesos.
- chkdirs.c: Lo mismo, pero en los directorios
- strings.c: Detecta borrados chapuceros de cadenas
- chkutmp.c: Intenta detectar borrados en el registro de actividad actual del sistema.