Daboweb

¿Te fías de tu antivirus? “Falso positivo”.

Publicado por Dabo on noviembre 16, 2008
Seguridad Informática

En seguridad informática se denomina “falso positivo” refiriéndonos a un virus al fallo en la detección por parte del antivirus y precisamente de eso os quería hablar.

No sé si conocéis ALERTVIR, es como una especie de cliente tipo RSS gratuito para Windows que os proporciona información en tiemp real sobre todo tipo de malware y quien está detrás de este software es el el Instituto Nacional de Tecnologías de la Comunicación (INTECO) junto a la Asociación de Internautas.

Dos entidades entiendo libre de toda sospecha, o no…por lo que se puede comprobar a continuación.

Según informó en su día Bernardo Quintero de Hispasec, esta aplicación creada para mantenernos al día de la basura electrónica que pulula por la red, ha sido catalogada como un virus ¿? por nada menos que 26 de 35 antivirus según “Virus Total” (os recomiendo ver la lista)

Concrétamente, las soluciones gratuitas son lás que más “falsos positivos” se han tragado ,aunque hay otras muchas de pago. Aclarar que esto no es algo con lo que se deba generalizar, pero en este caso es así.

Incluso, en la sección de descargas de ALERTVIR avisan de que ciertos antivirus pueden considerarlo como un software espía por la similitud que tiene con algunos de ellos, concretamente dicen;

” El problema parece radicar en que ALERTVIR se puede comparar por su forma de actuar a un programa de Publicidad ya que realmente se conecta a un servidor externo cada cierto tiempo”

Estoy totalmente de acuerdo con Bernardo Quintero en que ese aviso más bien parece una excusa elegante para no dejar a la altura del barro a ciertas compañías de antivirus (no todas lógicamente) que por lo que se ve, no se molestan mucho en comprobar o analizar el archivo y mucho me temo que, amparándose en “eso de la heurística” que aplicado a este caso puede ser que sólo por usar un packer (UPack) que comprime el ejecutable, ya es considerado como un vector de alto riesgo ¿?.

Han probado a hacer el mismo análisis descomprimiendo el “.exe” y (¡qué cosas!) sólo es catalogado como un virus por 5 de ellos…de ahí los nombres que le asignan del tipo “Sus/ComPack-K, Packed/Upack”.

Vaya que si eres programador ten cuidado con no hacer una aplicación empaquetada y que cada cierto tiempo se conecte a un servidor externo para recopilar y recibir información no sea que vaya a ser bloqueada por toda la élite del mundo mundial anti-vírica.

Y muy cansados tienen que estar en la Asociación de Internautas de esos falsos posiitivos cuando publican el pasado día 14 este artículo. ¿Qué puede indicar eso? que si la información original de Bernardo Quintero en el Blog de Hispasec data del 27 de Agosto, la tendencia es la misma casi tres meses después y muchos usuarios se estarán quejando…

Así que ya sabes, viendo estas formas de catalogar como un virus a un programa que ayuda a combatirlos, no quieras saber que sucede con “los de verdad”. Nunca está mal tener a mano un buen backup por si los antivirus las moscas -;).

Y añado, en nuestro foro de seguridad un usuario ha sufrido en sus propias carnes el desastre de AVG que consideraba un archivo del sistema (USER32.DLL) como un troyano y lo borraba alegremente…

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.