Trinity Rescue Kit - Viruscan: Detección y limpieza de virus | Algo de Linux

lunes, 6 de octubre de 2008

Trinity Rescue Kit - Viruscan: Detección y limpieza de virus

Como decía en el post anterior, vamos ir viendo poco a poco cómo usar Trinity Rescue Kit (TRK).

En este primer artículo, veremos cómo emplear este kit de rescate para detectar y limpiar virus en un sistema Windows. Para ello, vamos a usar el script viruscan.

Virusscan es un script incluido en en Trinity Rescue Kit que esconde 4 diferentes scanners de virus en uno; cinco en la versión 3.3 de TRK. De todos éstos antivirus, tan sólo uno se encuentra incluido en el CD de TRK: ClamAv. El resto son descargados desde su sitio web al usarlos. Así que, es importante tener una conexión a internet más o menos rápida para poder descargar las últimas firmas de virus.

Los motores de antivirus utilizados en TRK son los siguientes:

- Clamav.
Es el único antivirus GPL incluido en TRK. Se actualiza frecuentemente y reconoce una amplia cantidad de virus y gusanos. Se usa mucho en servidores de correo para bloquear mensajes infectados. Puede poner en cuarentena ficheros, pero no desinfectarlos.
Podemos actualizarlo manualmente si colocamos el último fichero daily.cvd en el directorio trk3/clamdb de TRK.

Los pros de Clamav son:
  • Es muy rápido en nuevas epidemias de virus.
  • Se encuentra incluido en TRK.
  • Tiene licencia GPL, con lo que es libre para todo el mundo.
Los contras:
  • Es lengo y hace un uso intensivo de memoria y CPU.
  • De todos los scanner incluidos en TRK, es el que menos cantidad de virus detecta.
  • No desinfecta ficheros. Lo que podemos hacer es poner en cuarentena los ficheros infectados en un archivo tar.gz en /TRK-INFECTED/.

-F-prot.
Este antivirus y los demás que siguen, no están incluidos en TRK, pero son descargados desde internet tan pronto como los ejecutamos. Luego, desaparecen después de un reinicio de TRK.
Si queremos que estén disponibles después de un reinicio, tenemos que ejecutar la herramienta updatetrk.

Los pros de F-prot son:
  • Descarga ligera.
  • Bastante rápido. Bajo uso de cpu.
  • Buen método de desinfección.
Los contras:
  • No lo detecta todo.
  • Su sitio web falla algunas veces y la descarga de f-prot es abortada.

-Grisoft AVG.
Es el más rápido del grupo y el que más virus detecta. Además, también detecta cierto malware, adware y spyware, aunque no los desinfecta. Para ello, probablemente necesitaremos una herramienta para spyware.

Pros de AVG:
  • Entre Clamav, F-prot, Bitdefender, AVG es el qe más virus detecta de los 4 antivirus.
  • También detecta algún malware.
  • Es rápido.
Contras de AVG:
  • La descarga es pesada. Y requiere al menos 256Mb de RAM o más, ya que los antivirus son descargados en ramdisk.
  • Hace un uso intensivo de CPU.
  • Las versiones y el sitio web cambian frecuentemente lo que puede provocar que el fichero de descarga no se encuentre disponible

-BitDefender Scanner.
Dispone de una buena media entre tamaño, carga de cpu/memoria y detección de virus. Puede detectar muchos tipos diferentes de malware. Puede detectar más malware que los tres anteriores. El autor de TRK recomienda scannear con este antivirus después de haber usado otro.
BitDefender propone usar la desinfección como primera acción y el borrado como segunda.

Pros de BitDefender:
  • Detecta bastantes virus.
  • Es bastante rápido.
  • Detecta más malware.
Contras:
  • Algunas veces no detecta los virus más comunes.
  • Proceso de actualización lento.
- Vexira (5º antivirus añadido).
Este es el antivirus que se ha añadido en la versión 3.3 de TRK.

Veamos cómo usar Viruscan:

Para usar detectar y limpiar virus, arrancamos nuestro ordenador desde el TRK. Una vez arrancado, veremos el prompt del sistema. Ahí será donde introduciremos el comando que nos permitirá escanearlo.

Si queremos consultar la ayuda de viruscan, tecleamos 'virusscan -h' en la línea de comandos:
# viruscan -h

Esta ayuda es auto-explicatoria y nos muestra un ejemplo de cómo usar el script.

Modo de uso: virusscan -a {clam,avg,fprot,bde,va} -c -g -n -d {DESTINO}

Donde:
  • -a : Este parámetro nos permite elegir el antivirus que queremos usar. Si queremos utilizar clamav, especificaremos: -a clam. Si queremos usar el antivirus f-prot, especificaremos: -a fprot. Si queremos usar AVG, especificaremos: -a avg. Si queremos usar BitDefender, especificaremos: -a bde y si queremos usar Vexira, especificaremos: -a va. Si omitimos el parámetro -a, se usará el antivirus ClamAv por defecto.
  • -c: Indica que se van a usar extensiones comunes (esta opción es para incrementar un poco la velocidad de ClamAv)
  • -g: Sólo descarga. Esta opción indica que qeremos descargar el antivirus y las actualizaciones, pero no queremos escanear buscando virus. Esta opción está pensada para usarse con updatetrk.
  • -d: Directorio a escanear. Si no se especifica ningún destino, viruscan escaneará todos los sistemas de ficheros locales que pueda encontrar. Podemos especificar múltiples destinos, separándolos por comas (sin espacios detrás).
  • -n: No actualizar. No busca nuevas firmas de antivirus.
  • -h: Nos muestra la ayuda.
Algunos ejemplos de uso:

# virusscan -a avg -d /mnt
El comando anterior descarga y actualiza el antivirus AVG y escanea /mnt.

# viruscan -a va -g
Descargamos el antivirus Vexira y sus actualizaciones, pero no escaneamos ningún directorio.

# viruscan -a fprot -d /hda1/Windows,/hda1/Archivos\ de\ programa
Descargamos, actualizamos el antivirus F-prot y escaneamos los directorios /hda1/Windows y /hda1/Archivos\ de\ programa.

# viruscan -a bde -n -d /hda1/Mis\ documentos
Utilizamos el antivirus BitDefender, sin descargar sus actualizaciones.

2 comentarios:

jcarrasco dijo...

Definitivamente, TRK es una excelente herramienta, pero tengo una consulta ¿Es posible enviar el resultado del scanner de virus a través de correo electrónico? de ser así ¿Cómo se puede hacer?

Gracias

jcarrasco dijo...

Definitivamente, TRK es una excelente herramienta, pero tengo una consulta ¿Es posible enviar el resultado del scanner de virus a través de correo electrónico? de ser así ¿Cómo se puede hacer?

Gracias