Standalone System Sweeper, nueva herramienta de Microsoft para eliminar malware. A fondo (parte 2)

En la primera parte de este especial sobre Standalone System Sweeper, la herramienta de recuperación creada por Microsoft para iniciar un sistema cuando otras posibilidades se han agotado, hice una descripción general del producto, expliqué por qué se elegía la versión de 32 ó 64 bits, así como el procedimiento para instalar el software y crear la imagen de arranque.

En esta segunda parte, vamos a ver el interfaz de la herramienta, sus posibilidades, cómo se realiza el escáner offline, la prueba realizada con virus reales para evaluar el producto y, finalmente, las conclusiones sobre este software gratuito, ahora en fase Beta, que Microsoft proporciona a sus usuarios.

Standalone System Sweeper: interfaz

Si nuestro equipo está adecuadamente configurado en la BIOS para arrancar desde el dispositivo óptico (CD o DVD) o USB, la imagen generada y grabada nos permitirá arrancar el sistema, que se inicia con el mismo aspecto que arranca Windows 7.

Tras una pantalla con fondo gris con una barra de progreso central, aparece la imagen que ilustra la cabecera del artículo. Ya estamos dentro la aplicación de recuperación, que está presidida por dos botones de navegación (avance y retroceso), y un sencillo menú con cinco iconos, (Home, Scan, History, Tools y Ayuda). Scan y Ayuda dan paso a una persiana desplegable.

Sobre fondo blanco tenemos el área de notificaciones y dentro de ésta, en la parte superior, información sobre el último análisis realizado. En la parte inferior muestra información sobre los ficheros de firmas de virus y antispyware respecto de versión y fecha.

Las opciones del icono Scan son: “Análisis rápido”, “completo” (opción por defecto) y “a medida”. Si ya hemos iniciado un análisis podemos detenerlo con la cuarta opción: Cancel. En el caso del icono simbolizado por el signo de interrogación, las opciones son: “ayuda”, “buscar actualizaciones”, “salir” (reinicia el equipo) y el típico “acerca de”.

Aunque History no tiene desplegable, además de la información sobre el historial de exploración, tiene tres posibilidades mediante enlaces: revisar historial de ficheros permitidos, en cuarentena y la posibilidad de unirte, si lo deseas, a Microsoft SpyNet.

Con la misma filosofía que el botón anterior, tenemos Tools, icono que proporciona acceso a las opciones de configuración, sin desplegable y accesos mediante enlaces. Cuatro son las posibilidades que permite Tools: “Opciones”, “unirse a Microsoft SpyNet” (de nuevo), “ítems en cuarentena” (se pueden eliminar o restaurar), e “ítems permitidos” (software marcado para no monitorizar).

Options da acceso a otra pantalla que contiene el área principal dividida en dos partes. En la izquierda, un menú con las tres opciones de este ítem: “exclusiones de archivos y rutas” y “exclusión de extensiones”. En ambos casos pueden añadirse o quitarse.

La tercera opción de este menú en columna situado a la izquierda es “Opciones avanzadas”, que permite incluir o excluir: ficheros comprimidos (.ZIP y .CAB), correo electrónico, dispositivos externos y análisis heurístico. La parte derecha muestra información acorde con la elección hecha en el menú izquierdo.

Standalone System Sweeper: prueba

La primera decisión que debemos tomar es el tipo de análisis que deseamos efectuar. Hay tres posibilidades: Análisis rápido, completo (opción por defecto) y a medida. Debido a que la cantidad de ficheros contenidos en una instalación que lleve funcionando unos meses, con software instalado y archivos personales, puede ser muy numeroso, es recomendable empezar por el análisis rápido, que se centra en archivos propios del sistema operativo. Es una fórmula para tamizar problemas. Si realmente tenemos un virus, lo más probable es que esté precisamente en ese tipo de ficheros.

Para probar este producto, he utilizado los mismos archivos que en los test realizados sobre antivirus gratuitos, el test EICAR —un falso virus—, un virus real y un troyano. Inicialmente he dejado todo el malware dentro de una misma carpeta, fuera de las de sistema, por lo que he procedido a realizar el escáner completo.

El resultado puedes verlo en la imagen superior, sólo ha detectado dos, (test EICAR y el troyano), de los tres archivos, omitiendo el más peligroso de todos, el verdadero virus que es, todo hay que decirlo, un virus antiguo. No he utilizado el análisis heurístico, sólo la configuración por defecto.

He vuelto a hacer otro intento, colocando el virus real en la carpeta System32 y con la misma configuración por defecto, optando por análisis rápido. Ha seguido sin detectar el virus. Los tiempos empleados por los dos tipos de análisis son bastante razonables a mi entender. El virus real sí lo ha detectado sin mayor problema un antivirus normal.

Si en el análisis obtienes resultados positivos, una posible infección, has de tomar otra decisión entre eliminar el archivo infectado, poner este en cuarentena o permitir su existencia si sospechas que es un falso positivo, como el test EICAR.

En el caso de tener el equipo con varios archivos infectados, sobre todo si son DLL, mi consejo es que los dejes en cuarentena, porque vas a necesitar reponer manualmente los ficheros dañados y es más fácil recordar sus nombres de ser muchos. Siempre puedes borrar después el contenedor de la cuarentena. Si son ejecutables no pertenecientes al sistema, borra sin más.

Si te fijas en la fecha que aparece en la prueba, está hecha el mismo día que escribí la primera parte de este especial, publicado al día siguiente. Lo menciono porque los ficheros de firmas deben corresponder a la primera versión o como mucho la segunda, que si lo unimos al hecho de ser versión Beta, permite cierta comprensión al hecho de fallar en el análisis.

Standalone System Sweeper: conclusión

Standalone System Sweeper me parece una idea formidable, aunque existan productos similares más veteranos, pero cuenta con dos grandes atractivos, su gratuidad y que el fabricante sea el mismo del sistema operativo. Esta cuestión me parece fundamental.

Como inconvenientes, no me preocupa tanto en este momento —y me refiero a la fecha de la prueba—, que no haya detectado un virus en concreto —no sabemos qué hubiera pasado si ejecuto el virus e infecto la máquina de forma real— y tampoco he probado el análisis heurístico.

El principal inconveniente que veo a Standalone System Sweeper es su interfaz, porque no tiene un criterio uniforme en la presentación. Mezclar desplegables, con enlaces y menús en columnas despista un poco. No es grave, pero este tipo de software no se usa cada día, con lo que se pierde algo de tiempo buscando lo que necesitamos cada vez. En este sentido, es manifiestamente mejorable a mi entender.

La opción más recomendable para ejecutar Standalone System Sweeper, es emplear un dispositivo USB, porque te ahorras discos ópticos y porque permite actualizar fácilmente los ficheros de firmas. El balance global, finalmente, es positivo.

Web | Descarga
En Genbeta | Standalone System Sweeper, nueva herramienta de Microsoft para eliminar malware. A fondo (parte 1) | Windows Security Essentials, el mejor antivirus gratuito