InícioO Falso Positivo nos Antivírus
2 participantes
O Falso Positivo nos Antivírus
por Supremo Sáb Mar 31, 2012 9:06 am
O Falso Positivo nos antivírus funciona da mesma forma que nos seres humanos. Imagine, que você faz um exame, e este exame acusa que você tem determinada doença (bata na madeira agora 
). Porém, após uma série de outros exames, chega-se a conclusão de que o primeiro exame estava errado e que você não possui a tal doença.
Voltando aos antivírus, é como você fazer um rastreamento em seu equipamento e o seu antivírus enviar arquivos que não possuem nenhuma espécie de malware para a sua pasta de quarentena, ou apenas solicitar que você tente desinfectar um arquivo que na verdade não possui infecção nenhuma.
Isso pode ocorrer e não é uma situação tão incomum nos dias atuais, visto que, surgem diversos novos malwares todo dia na rede, o que pode ocasionar, que o antivírus acabe em alguns casos, superestimando a forma com que analisa esses malwares, tratando arquivos que estão “sadios” como infectados.
Esse tipo de análise que trata um arquivo sadio como infectado é o falso positivo nos antivírus. É importante, principalmente quando o arquivo for gerado pelo próprio usuário ou tratar-se de um arquivo do sistema operacional, que façamos um rastreamento no equipamento e não saiamos simplesmente deletando este(s) arquivo(s). Tentar verificar no site da empresa fabricante do antivírus se existe alguma novidade em relação ao tipo de arquivo que foi detectado como infectado ou verificar se já existe uma vacina disponível é o mais aconselhável, antes de uma deleção precipitada.
Obviamente que possuir um antivírus que mostre alguns falsos positivos, é muito melhor do que não possuir nenhum, porém, falsos positivos, são, ao contrário, pontos negativos quando da avaliação dos antivírus. Quanto mais falsos positivos um antivírus encontra, mais pontos ele perde em sua avaliação (pelo menos é o que ocorre nas avaliações dos maiores especialistas neste tipo de produto).
Abaixo, cito parte de um post escrito por um membro do site winajuda.ig.com.br, chamado Alexandre, o Chato sobre como reportar falsos positivos para as empresas de antivírus. Este post é bastante interessante e muito útil.
As empresas de antivírus disponibilizam um meio de acesso, para que seus usuários possam reportar falsos positivos, para que nas próximas atualizações estes erros sejam corrigidos.
Antes de Enviar a mensagem reportando o falso positivo, devemos verificar o seguinte:
- Ter certeza de que esta utilizando a última atualização do antivírus, pois assim evitamos o envio de falsos positivos que já foram corrigidos.
- Fazer uma análise em sites que contém bancos de dados da maioria dos antivírus, para ter certeza de que não está realmente infectado. Entre os sites, destacam-se: (http://www.virustotal.com/, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
- Compacte o arquivo em ZIP ou RAR e coloque senha. (“Infected” é a senha solicitada pela maioria dos emails citados abaixo), para evitar que gateways de emails ou sites detectem qualquer malware.
Seguem abaixo, os antivírus e como reportar os falsos positivos:
Avira AntiVir
Através deste link (http://analysis.avira.com/samples/index.php), é possível reportar uma URL infectada erroneamente ou enviar um arquivo do seu computador de no máximo 8 Mb(Megabytes). É de extrema importância selecionar no campo File Type, a opção Suspected False Positive. Após a seleção, uma nova caixa de texto se abre, e ali deve-se colocar o link de onde o arquivo original pode ser baixado, se possível (links de instaladores que contenham o arquivo, também são válidos, mas dê preferência por links oficiais. Ex.: Programa com .dll detectada erroneamente > envie o link do instalador).
Kaspersky Internet Security / Kaspersky Antivírus
Há dois métodos para enviar Falsos Positivos aos laboratórios do Kaspersky. O primeiro pode ser feito através da janela de Quarentena do KAV / KIS.
O segundo método é o envio de email. Envie uma mensagem para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] com o Assunto “Possível Falso Positivo”. Anexe o arquivo em ZIP ou RAR. Você pode colocar algumas informações adicionais, como nome do malware detectado, o porquê de ser um falso positivo e, se houver, senha do arquivo compactado.
ESET Smart Security / NOD32 Antivírus
Envie um email para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], contendo o assunto “Possible False Positive” e o anexo em ZIP ou RAR. Na mensagem do email, coloque o porquê de achar que a detecção é um falso positivo. Se o arquivo do falso positivo for um programa, também coloque o nome do desenvolvedor, o nome do programa e sua versão e um site onde pode ser baixado (pode ser o link do instalador). E o email, deve ser, preferencialmente escrito em inglês, para agilizar o processo e evitar erros no entendimento da mensagem.
Norton Antivírus / Internet Security
Esta página [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] permite que sejam reportados falsos positivos em programas, mas sem a necessidade de envio do arquivo infectado.
É importante informar se foi detectado Malware ou Security Risk no campo Is Your submission related to a malware or security risk false positive?. Também é importante informar no campo I am the vendor of the potentially mis-identified software, se você não for o desenvolvedor do programa. Por último, não se esqueça de informar o nome da detecção dada pelo Norton no campo Name of detection given by Symantec.
AVG Antivírus / Internet Security
Através do email [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], envie o arquivo com o falso positivo no formato ZIP ou RAR com o assunto “False Positive”. Descreva brevemente o problema, e se, houver, a senha do arquivo zipado. Dê preferência ao inglês para redigir a sua mensagem.
avast! Antivírus
Envie o arquivo do falso positivo em ZIP ou RAR para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], com o assunto “False Positive”. Não há necessidade de uma descrição do problema, mas você deve colocar a senha do arquivo enviado na mensagem.
O Alexandre deu preferência aos antivírus mais utilizados na internet.
Espero que o artigo tenha contribuído para um melhor entendimento quanto ao funcionamento dos falsos positivos nos antivírus.
Ratifico que o envio dos falsos positivos para os fabricantes de antivírus citados pelo Alexandre, devem seguir as regras ali descritas.
fonte:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
). Porém, após uma série de outros exames, chega-se a conclusão de que o primeiro exame estava errado e que você não possui a tal doença.Voltando aos antivírus, é como você fazer um rastreamento em seu equipamento e o seu antivírus enviar arquivos que não possuem nenhuma espécie de malware para a sua pasta de quarentena, ou apenas solicitar que você tente desinfectar um arquivo que na verdade não possui infecção nenhuma.
Isso pode ocorrer e não é uma situação tão incomum nos dias atuais, visto que, surgem diversos novos malwares todo dia na rede, o que pode ocasionar, que o antivírus acabe em alguns casos, superestimando a forma com que analisa esses malwares, tratando arquivos que estão “sadios” como infectados.
Esse tipo de análise que trata um arquivo sadio como infectado é o falso positivo nos antivírus. É importante, principalmente quando o arquivo for gerado pelo próprio usuário ou tratar-se de um arquivo do sistema operacional, que façamos um rastreamento no equipamento e não saiamos simplesmente deletando este(s) arquivo(s). Tentar verificar no site da empresa fabricante do antivírus se existe alguma novidade em relação ao tipo de arquivo que foi detectado como infectado ou verificar se já existe uma vacina disponível é o mais aconselhável, antes de uma deleção precipitada.
Obviamente que possuir um antivírus que mostre alguns falsos positivos, é muito melhor do que não possuir nenhum, porém, falsos positivos, são, ao contrário, pontos negativos quando da avaliação dos antivírus. Quanto mais falsos positivos um antivírus encontra, mais pontos ele perde em sua avaliação (pelo menos é o que ocorre nas avaliações dos maiores especialistas neste tipo de produto).
Abaixo, cito parte de um post escrito por um membro do site winajuda.ig.com.br, chamado Alexandre, o Chato sobre como reportar falsos positivos para as empresas de antivírus. Este post é bastante interessante e muito útil.
As empresas de antivírus disponibilizam um meio de acesso, para que seus usuários possam reportar falsos positivos, para que nas próximas atualizações estes erros sejam corrigidos.
Antes de Enviar a mensagem reportando o falso positivo, devemos verificar o seguinte:
- Ter certeza de que esta utilizando a última atualização do antivírus, pois assim evitamos o envio de falsos positivos que já foram corrigidos.
- Fazer uma análise em sites que contém bancos de dados da maioria dos antivírus, para ter certeza de que não está realmente infectado. Entre os sites, destacam-se: (http://www.virustotal.com/, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
- Compacte o arquivo em ZIP ou RAR e coloque senha. (“Infected” é a senha solicitada pela maioria dos emails citados abaixo), para evitar que gateways de emails ou sites detectem qualquer malware.
Seguem abaixo, os antivírus e como reportar os falsos positivos:
Avira AntiVir
Através deste link (http://analysis.avira.com/samples/index.php), é possível reportar uma URL infectada erroneamente ou enviar um arquivo do seu computador de no máximo 8 Mb(Megabytes). É de extrema importância selecionar no campo File Type, a opção Suspected False Positive. Após a seleção, uma nova caixa de texto se abre, e ali deve-se colocar o link de onde o arquivo original pode ser baixado, se possível (links de instaladores que contenham o arquivo, também são válidos, mas dê preferência por links oficiais. Ex.: Programa com .dll detectada erroneamente > envie o link do instalador).
Kaspersky Internet Security / Kaspersky Antivírus
Há dois métodos para enviar Falsos Positivos aos laboratórios do Kaspersky. O primeiro pode ser feito através da janela de Quarentena do KAV / KIS.
O segundo método é o envio de email. Envie uma mensagem para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] com o Assunto “Possível Falso Positivo”. Anexe o arquivo em ZIP ou RAR. Você pode colocar algumas informações adicionais, como nome do malware detectado, o porquê de ser um falso positivo e, se houver, senha do arquivo compactado.
ESET Smart Security / NOD32 Antivírus
Envie um email para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], contendo o assunto “Possible False Positive” e o anexo em ZIP ou RAR. Na mensagem do email, coloque o porquê de achar que a detecção é um falso positivo. Se o arquivo do falso positivo for um programa, também coloque o nome do desenvolvedor, o nome do programa e sua versão e um site onde pode ser baixado (pode ser o link do instalador). E o email, deve ser, preferencialmente escrito em inglês, para agilizar o processo e evitar erros no entendimento da mensagem.
Norton Antivírus / Internet Security
Esta página [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] permite que sejam reportados falsos positivos em programas, mas sem a necessidade de envio do arquivo infectado.
É importante informar se foi detectado Malware ou Security Risk no campo Is Your submission related to a malware or security risk false positive?. Também é importante informar no campo I am the vendor of the potentially mis-identified software, se você não for o desenvolvedor do programa. Por último, não se esqueça de informar o nome da detecção dada pelo Norton no campo Name of detection given by Symantec.
AVG Antivírus / Internet Security
Através do email [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], envie o arquivo com o falso positivo no formato ZIP ou RAR com o assunto “False Positive”. Descreva brevemente o problema, e se, houver, a senha do arquivo zipado. Dê preferência ao inglês para redigir a sua mensagem.
avast! Antivírus
Envie o arquivo do falso positivo em ZIP ou RAR para [Tens de ter uma conta e sessão iniciada para poderes visualizar este link], com o assunto “False Positive”. Não há necessidade de uma descrição do problema, mas você deve colocar a senha do arquivo enviado na mensagem.
O Alexandre deu preferência aos antivírus mais utilizados na internet.
Espero que o artigo tenha contribuído para um melhor entendimento quanto ao funcionamento dos falsos positivos nos antivírus.
Ratifico que o envio dos falsos positivos para os fabricantes de antivírus citados pelo Alexandre, devem seguir as regras ali descritas.
fonte:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Supremo- Veterano
- Mensagens : 450
Data de inscrição : 24/02/2012
Localização : aqui, administrando
Re: O Falso Positivo nos Antivírus
por LPinguim Sáb Mar 31, 2012 9:38 pm
muito interessante cara.
nunca confie demais no antivírus.
nunca confie demais no antivírus.
LPinguim- Novato
- Mensagens : 23
Data de inscrição : 28/03/2012
Localização : São Paulo
Tópicos semelhantes» removendo vírus sem usar nenhum antivírus
» Anonymous-OS é considerado falso pelo grupo
» Plano do Anonymous para derrubar a internet pode ser falso
» Anonymous-OS é considerado falso pelo grupo
» Plano do Anonymous para derrubar a internet pode ser falso
Permissões neste sub-fórum
Não podes responder a tópicos|
|
|