Falso Positivo em Antivírus
O Falso Positivo nos antivírus funciona da mesma forma que nos seres humanos. Imagine, que você faz um exame, e este exame acusa que você tem determinada doença. Porém, após uma série de outros exames, chega-se a conclusão de que o primeiro exame estava errado e que você não possui a tal doença.
Voltando aos antivírus, é como você fazer um rastreamento em seu equipamento e o seu antivírus enviar arquivos que não possuem nenhuma espécie de malware para a sua pasta de quarentena, ou apenas solicitar que você tente desinfectar um arquivo que na verdade não possui infecção nenhuma.
Isso pode ocorrer e não é uma situação tão incomum nos dias atuais, visto que, surgem diversos novos malwares todo dia na rede, o que pode ocasionar, que o antivírus acabe em alguns casos, superestimando a forma com que analisa esses malwares, tratando arquivos que estão “sadios” como infectados.
Esse tipo de análise que trata um arquivo sadio como infectado é o falso positivo nos antivírus. É importante, principalmente quando o arquivo for gerado pelo próprio usuário ou tratar-se de um arquivo do sistema operacional, que façamos um rastreamento no equipamento e não saiamos simplesmente deletando este(s) arquivo(s). Tentar verificar no site da empresa fabricante do antivírus se existe alguma novidade em relação ao tipo de arquivo que foi detectado como infectado ou verificar se já existe uma vacina disponível é o mais aconselhável, antes de uma deleção precipitada.
Obviamente que possuir um antivírus que mostre alguns falsos positivos, é muito melhor do que não possuir nenhum, porém, falsos positivos, são, ao contrário, pontos negativos quando da avaliação dos antivírus. Quanto mais falsos positivos um antivírus encontra, mais pontos ele perde em sua avaliação (pelo menos é o que ocorre nas avaliações dos maiores especialistas neste tipo de produto).
Abaixo, segue parte de um post escrito por um membro do site winajuda.ig.com.br sobre como reportar falsos positivos para as empresas de antivírus. Este post é bastante interessante e muito útil.
As empresas de antivírus disponibilizam um meio de acesso, para que seus usuários possam reportar falsos positivos, para que nas próximas atualizações estes erros sejam corrigidos.
Antes de Enviar a mensagem reportando o falso positivo, devemos verificar o seguinte:
- Ter certeza de que esta utilizando a última atualização do antivírus, pois assim evitamos o envio de falsos positivos que já foram corrigidos.
- Fazer uma análise em sites que contém bancos de dados da maioria dos antivírus, para ter certeza de que não está realmente infectado. Entre os sites, destacam-se: (http://www.virustotal.com/, http://virusscan.jotti.org/).
- Compacte o arquivo em ZIP ou RAR e coloque senha. (“Infected” é a senha solicitada pela maioria dos emails citados abaixo), para evitar que gateways de emails ou sites detectem qualquer malware.
Seguem abaixo, os antivírus e como reportar os falsos positivos:
Avira AntiVir
Através deste link (http://analysis.avira.com/samples/index.php), é possível reportar uma URL infectada erroneamente ou enviar um arquivo do seu computador de no máximo 8 Mb(Megabytes). É de extrema importância selecionar no campo File Type, a opção Suspected False Positive. Após a seleção, uma nova caixa de texto se abre, e ali deve-se colocar o link de onde o arquivo original pode ser baixado, se possível (links de instaladores que contenham o arquivo, também são válidos, mas dê preferência por links oficiais. Ex.: Programa com .dll detectada erroneamente > envie o link do instalador).
Kaspersky Internet Security / Kaspersky Antivírus
Há dois métodos para enviar Falsos Positivos aos laboratórios do Kaspersky. O primeiro pode ser feito através da janela de Quarentena do KAV / KIS.
O segundo método é o envio de email. Envie uma mensagem para newvirus@kaspersky.com com o Assunto “Possível Falso Positivo”. Anexe o arquivo em ZIP ou RAR. Você pode colocar algumas informações adicionais, como nome do malware detectado, o porquê de ser um falso positivo e, se houver, senha do arquivo compactado.
ESET Smart Security / NOD32 Antivírus
Envie um email para samples@eset.com, contendo o assunto “Possible False Positive” e o anexo em ZIP ou RAR. Na mensagem do email, coloque o porquê de achar que a detecção é um falso positivo. Se o arquivo do falso positivo for um programa, também coloque o nome do desenvolvedor, o nome do programa e sua versão e um site onde pode ser baixado (pode ser o link do instalador). E o email, deve ser, preferencialmente escrito em inglês, para agilizar o processo e evitar erros no entendimento da mensagem.
Norton Antivírus / Internet Security
Esta página https://submit.symantec.com/false_positive/index.html, permite que sejam reportados falsos positivos em programas, mas sem a necessidade de envio do arquivo infectado.
É importante informar se foi detectado Malware ou Security Risk no campo Is Your submission related to a malware or security risk false positive?. Também é importante informar no campo I am the vendor of the potentially mis-identified software, se você não for o desenvolvedor do programa. Por último, não se esqueça de informar o nome da detecção dada pelo Norton no campo Name of detection given by Symantec.
AVG Antivírus / Internet Security
Através do email virus@avg.com, envie o arquivo com o falso positivo no formato ZIP ou RAR com o assunto “False Positive”. Descreva brevemente o problema, e se, houver, a senha do arquivo zipado. Dê preferência ao inglês para redigir a sua mensagem.
avast! Antivírus
Envie o arquivo do falso positivo em ZIP ou RAR para virus@avast.com, com o assunto “False Positive”. Não há necessidade de uma descrição do problema, mas você deve colocar a senha do arquivo enviado na mensagem.
Autor: Evaldo Tatsch Junior Data: 28/02/2009
Fonte: http://info.abril.com.br/forum/viewtopic.php?f=121&t=2081