Evolución de la tecnología antivirus B-HAVE de Bitdefender
February 2007
Barcelona, 22 de febrero de 2007
En Octubre de 2004, AV-Test, una compañía independiente dedicada a la realización de pruebas Antivirus, publicó unos resultados que mostraban el tiempo medio que tardaban los fabricantes Antivirus en divulgar las firmas contra los nuevos virus In-The-Wild (In The Wild: Listado de virus en circulación, utilizada en diferentes procesos de certificación de Calidad de productos Antivirus.) De este estudio se derivaba que, cuanto más rápidas eran las respuestas de los fabricantes, menor era el riesgo de que los usuarios se infectaran. Esto reducía la denominada Ventana de oportunidad de los virus. BitDefender encabezó la lista, con un tiempo medio de respuesta de 2h, frente a las 8h de respuesta media de la industria.
Sin embargo, el malware autopropulsado, aquel que no precisa de la intervención de usuario para propagarse, puede infectar a una gran parte de los usuarios vulnerables con tan sólo unos minutos. Las limitaciones del modelo de firmas de virus se hacen evidentes cuando se consideran este tipo de amenazas, ya que las firmas pueden llegar demasiado tarde.
Para afrontar esta limitación y mantener a salvo a todos sus usuarios, los Laboratorios BitDefender diseñaron una nueva tecnología, a través de la cual, los ordenadores de los usuarios eran capaces de identificar virus por sí solos, sin necesidad de recibir una firma desde el servidor central.
En Abril de 2005, en la Feria CeBIT de Alemania, BitDefender presentó la tecnología B-HAVE en sociedad:
Esta tecnología crea un ordenador virtual dentro del propio ordenador, donde se ejecutan fragmentos de software que parecen sospechosos y se comprueba si intentan actuar del mismo modo que los troyanos y los gusanos. A partir de ahí, si tiene el aspecto de un pato y hace cuac igual que un pato, le disparamos. declaró Bogdan Dumitru, BitDefender CTO
Esta tecnología fue introduciéndose gradualmente tras 2 años de exhaustivas pruebas internas y sobre el terreno, con el objetivo de detectar el 60% del malware a basándose únicamente en el análisis heurístico del comportamiento
Detección Proactiva de Malware basado en la Vulnerabilidad MS05-039 medido por AV-Test
Al cabo de 5 meses, cuando algunas partes de esta tecnología aún estaban en pruebas, apareció una nueva prueba independiente que demostró no sólo que esta tecnología funcionaba, sino que además era eficaz.
AV-Test (http://av-test.org/), utilizó 36 productos antivirus diferentes para medir la detección de 6 variantes del virus Zotob que intentaban explotar la vulnerabilidad de Plug and Play MS05-039. Sólo 11 de ellos fueron capaces de detectar proactivamente al menos una variante, es decir, sin ninguna actualización especial que permitiera detectarlo.
Producto - Resultado
BitDefender - 6 de 6
Fortinet - 6 de 6
Nod32 - 5 de 6
eSafe - 3 de 6
F-Prot - 3 de 6
Panda - 3 de 6
QuickHeal - 3 de 6
McAfee - 2 de 6
Norman - 2 de 6
AntiVir - 1 de 6
ClamAV - 1 de 6
Claramente BitDefender y Fortinet han hecho un trabajo admirable, y algunos de los otros no lo hicieron mal. AV-Test ha observado que eSafe, Fortinet y QuickHeal usan reglas de detección heurística que generan un gran número de falsos positivos, como si los archivos analizados fueran simplemente comprimidos en tiempo de ejecución. Fuente: http://www.pcmag.com/article2/0,1895,1850851,00.asp (Agosto 2005)
En resumen, BitDefender fue la única compañía que proactivamente detectó las seis variantes del virus Zotob sin generar falsos positivos (archivos detectados erróneamente como virus). El futuro de B-HAVE (tecnología pendiente de patentes) parecía brillante.
Detección de Malware: Top-Notch (PC World, USA, Enero 2006):
Cinco meses más tarde, PC World de Estados Unidos publicó otro test que mostró de manera concluyente que B-HAVE cumplía con las expectativas creadas.
El objetivo de detectar un 60% del malware con B-HAVE está cada vez más cerca según las cifras actuales, y parece que con las mejoras programadas en los próximos meses, la tecnología mejorará todavía más. El exitoso despliegue de B-HAVE colocó a BitDefender en una posición envidiable.
PRODUCTO - DETECCIÓN HEURÍSTICA (firmas 1 mes) - DETECCIÓN HEURÍSTICA (Firmas 2 meses)
BitDefender 9 Standard - 56.00% - 38.00%
McAfee VirusScan 2006 - 53.00% - 34.00%
Kaspersky Anti-Virus Personal 5.0 - 51.00% - 26.00%
F-Secure Anti-Virus 2006 - 52.00% - 27.00%
Symantec Norton AntiVirus 2006 - 22.00% - 8.00%
Panda Titanium 2006 Antivirus + Antispyware - 21.00% - 16.00%
AntiVir Personal Edition Classic 6.32 - 11.00% - 6.00%
Alwil Software Avast Home Edition 4.6 - 9.00% - 5.00%
Trend Micro PC-cillin Internet Security Security 2006 - 6.00% - 3.00%
Grisoft AVG Free Edition 7.1 - 8.00% - 4.00%
Esta económica herramienta antivirus consiguió los mejores resultados en nuestro test heurístico, y detectó la gama más amplia de amenazas. BitDefender 9 Standard es barato, fácil de usar, y eficaz detectando nuevas amenazas de malware; como resultado, ha ganado la distinción PC Worlds Best Buy en la comparativa Los Nuevos Luchadores de Virus realizada entre 10 productos antivirus
Fuente: http://www.pcworld.com/article/id,124163-page,1/article.html (Enero 2006)
Detección Proactiva Advanced+ (Mayo 2006):
La organización de pruebas independientes AV-Comparatives.org mostró, en Mayo del 2006, que el ratio de detección pro-activa de los motores BitDefender era superior que el de sus principales competidores (F-Secure, Kaspersky, McAfee, Symantec y Panda), superó en un 15% el ratio de detección respecto a su competidor más cercano, y a Symanetc en un 29%.
Los resultados detallados están disponibles en la web de AV-Comparatives.org.
http://www.av-comparatives.org/seiten/ergebnisse_2006_05.php
Todos los productos y servidores de BitDefender incorporan la tecnología B-HAVE, la más innovadora tecnología proactiva de defensa.
Las ventajas de la tecnología B-HAVE respecto a otras:
- Métodos genéricos de desempaquetado que soportan los nuevos métodos de empaquetado.
- Motor de ejecución Visual Basic para la detección proactiva de virus de visual basic.
- Más rápido, ya que la mayoría de funciones implementadas en este subsistema de Windows no son emuladas, sino que funcionan de forma nativa, y aumentan la velocidad de análisis.
- Activado de forma automática tanto para el análisis en tiempo real, como el bajo demanda.
- Soporte COM para emular completamente a los virus en Visual Basic.
- Muy bueno contra virus y backdoors, pero también contra Troyanos.
- Muy buen soporte de los desempaquetadotes estáticos.
- Independiente de la plataforma: funciona tanto en Windows como en todas las distribuciones Linux y FreeBSD
- Emulación BAT/CMD incluida en la máquina virtual
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
