14 feb 2011

Los falsos positivos

A raiz de un comentario en la entrada del fearless bound file detector he decidido incluir una reseña en el blog sobre los falsos positivos.

Muchas veces los antivirus detectan archivos que no entrañan ningún riesgo para el ordenador, miren por ejemplo el resultado de virus total al escanear el fearless bound file detector:

Antivirus Version Last update Result
AhnLab-V3 2010.11.27.00 2010.11.26 Win-Trojan/Packed.8192.C
AntiVir 7.10.14.125 2010.11.26 TR/Renaz.7771
Antiy-AVL 2.0.3.7 2010.11.27 -
Avast 4.8.1351.0 2010.11.26 Win32:Neptunia-ADW
Avast5 5.0.594.0 2010.11.26 Win32:Neptunia-ADW
AVG 9.0.0.851 2010.11.27 Generic6.LMW
BitDefender 7.2 2010.11.27 Trojan.Packed.25637
CAT-QuickHeal 11.00 2010.11.26 Trojan.Agent.IRC
ClamAV 0.96.4.0 2010.11.27 PUA.Packed.FSG-1
Command 5.2.11.5 2010.11.26 W32/Heuristic-210!Eldorado
Comodo 6860 2010.11.27 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.11.26 -
eSafe 7.0.17.0 2010.11.24 Win32.Dx
eTrust-Vet 36.1.8003 2010.11.26 -
F-Prot 4.6.2.117 2010.11.26 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.11.26 Trojan.Packed.25637
Fortinet 4.2.254.0 2010.11.26 -
GData 21 2010.11.27 Trojan.Packed.25637
Ikarus T3.1.1.90.0 2010.11.26 Virus.Win32.Trojan
Jiangmin 13.0.900 2010.11.26 -
K7AntiVirus 9.69.3095 2010.11.26 Riskware
McAfee 5.400.0.1158 2010.11.27 Generic.dx
McAfee-GW-Edition 2010.1C 2010.11.26 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.6402 2010.11.26 -
NOD32 5652 2010.11.26 probably a variant of Win32/Agent.HWUXQG
Norman 6.06.10 2010.11.26 Suspicious_F.gen
nProtect 2010-11-26.01 2010.11.26 Trojan/W32.Agent.7771
Panda 10.0.2.7 2010.11.27 Generic Trojan
PCTools 7.0.3.5 2010.11.27 -
Prevx 3.0 2010.11.27 Medium Risk Malware
Rising 22.75.03.04 2010.11.26 Trojan.Win32.Generic.5221B2FB
Sophos 4.60.0 2010.11.27 Mal/Packer
SUPERAntiSpyware 4.40.0.1006 2010.11.27 -
Symantec 20101.2.0.161 2010.11.27 -
TheHacker 6.7.0.1.091 2010.11.26 -
TrendMicro 9.120.0.1004 2010.11.26 TROJ_Generic
TrendMicro-HouseCall 9.120.0.1004 2010.11.27 TROJ_Generic
VBA32 3.12.14.2 2010.11.26 Trojan.Win32.Refroso.atkb
VIPRE 7423 2010.11.27 Trojan.Win32.Generic!BT
ViRobot 2010.11.19.4158 2010.11.26 -
VirusBuster 13.6.62.0 2010.11.26 Packed/FSG

MD5: 6cd9ae63a343ba86654d0e077b6ab950
SHA1: a391c271b39725fae46bb60336c0f44f831a873a
SHA256: fd4afc971e7fc66e5f302258048a4cc7a0a00226f50d06de01a671c53987edc6
File size: 7771 bytes
Scan date: 2010-11-27 02:02:28 (UTC)



Como podeis ver no se ponen muy de acuerdo acerca de como detectarlo, y de todos ellos quizás el que más se acerca es Kaspersky al calificarlo como riskware, ya que se trata de una herramienta escrita por un grupo de hackers, autores de otros programas mucho más malignos.

Un falso positivo es aquel que se produce cuando un antivirus advierte de peligro y en realidad no existe ningún riesgo. Y son mucho más frecuentes de lo que la gente piensa, de hecho cada vez son más frecuentes.

Por desgracia para los usuarios de ordenadores los antivirus no gustan de explicar como es su funcionamiento pues su estrategia principal de marketing es el miedo, cuanto más asustados esten los usuarios mayor será su confianza en los antivirus.

Para mayor desgracia de los usuarios solo existe un modo de saber si un archivo está o no limpio y ese modo requiere conocimiento y tiempo, la única manera de asegurarse realmente de si un archivo está infectado es analizándolo a manivela con programas específicos como editores hexadecimales, depuradores, etc.

Los mortales tendremos que seguir fiándonos de lo que nos dicen los antivirus pues el conocimiento necesario para analizar malware es muy amplio y requiere mucha dedicación. En este mundo gobernado por las prisas no hay nada peor que depositar nuestra confianza en un automatismo como por ejemplo nuestro antivirus favorito.

Y el problema no termina aquí, en el pobre usuario, sino que alcanza a los programadores, un falso positivo en una aplicación completamente limpia trae como consecuencia que los usuarios no usen la aplicación por miedo. Imaginen que son programadores y acaban de terminar un programa despues de meses de duro trabajo, lo ponen en internet para beneficio de todos y resulta que algunos antivirus dan un falso positivo al analizarlo. Muchos usuarios, por miedo, no se atreverán a probar su programa.

El efecto del falso positivo funciona como la publicidad dañina y falsa que se genera en torno a determinados productos, hundiéndolos.

Un ejemplo claro de esto último lo tenemos en McAffe y su falso positivo al analizar archivos legítimos de Windows.

Podemos encontrar ejemplos en los que los antivirus dan falsos positivos al analizar archivos de la competencia, sí, un antivirus detectando otro antivirus.

Es también común la detección de cracks y keygens como virus, principalmente porque los cracks y keygens son programas que se saltan las protecciones de los programas permitiendonos usarlos de manera gratuita.

Incluso las bromas para ordenadores son detectadas por los antivirus.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)