Los”falsos positivos”ocurren cuando un archivo se marca como peligroso o malicioso cuando, de hecho, es bastante seguro. Cualquiera que haya tratado con un software antivirus se ha encontrado con falsos positivos en algún momento u otro. Hasta el día de hoy, sigo recibiendo numerosos comentarios de usuarios que quieren saber si un archivo (generalmente un ejecutable) ha sido marcado por uno o más motores antivirus a través de VirusTotal es malicioso o no.
Ahora, VirusTotal escanea archivos a través de múltiples motores antivirus, generalmente entre 60 y 70 motores antivirus diferentes, y si solo uno o dos marcan el archivo como malicioso, pero todos los demás le dan al archivo un certificado de buena salud. , mi consejo siempre es que lo más probable es que se trate de un falso positivo, y especialmente si los motores antivirus que marcan el archivo como malicioso son de la variedad menos conocida.
¿Cómo se producen los falsos positivos?
Las soluciones antivirus inherentemente se equivocan del lado de precaución, lo cual es bueno. Mejor prevenir que lamentar. Sin embargo, esto a menudo puede conducir a falsos positivos basados simplemente en el patrón de comportamiento de un ejecutable más la incapacidad del antivirus para juzgar si ese comportamiento tiene una intención maliciosa.
Un ejemplo típico es cualquier software de recuperación de contraseña, como MailPassView de NirSoft.. Debido a que este tipo de software tiene la capacidad de revelar contraseñas ocultas, obviamente puede usarse con fines maliciosos cuando está en las manos equivocadas. Así es como las soluciones antivirus ven la situación y, en consecuencia, marcan el software como malicioso. Sin embargo, muchos usuarios utilizan MailPassView para recuperar sus propias contraseñas de correo electrónico olvidadas, lo cual no es malicioso en absoluto, sino todo lo contrario.
Las soluciones antivirus no incluyen la capacidad de distinguir entre un posible uso malicioso y cuándo un usuario simplemente está tratando de recuperar sus propias contraseñas, por lo que, como mencioné, pecan de precavidos y siempre marcarán este tipo de software como malicioso.
Detección heurística
Todas las soluciones antivirus modernas incluyen un componente que marca elementos en función de los rasgos de comportamiento, conocido como detección heurística. Este tipo de protección es muy eficaz contra amenazas de día cero (anteriormente desconocidas), pero también es propensa a cometer errores ocasionales. Estos errores ocasionales se conocen como falsos positivos.
¿Cómo puede estar seguro?
Si alguna vez no está seguro, VirusTotal es un excelente recurso para obtener una indicación clara de si un archivo (ejecutable) es malicioso o no. Independientemente, si está instalando un programa por primera vez, y particularmente si el software es relativamente desconocido, siempre debe escanear el archivo de instalación a través de VirusTotal antes de la instalación.
Siempre que pruebo el software aquí en DCT Con una revisión en mente, siempre escaneo el ejecutable (archivo de instalación) a través de VirusTotal primero para asegurarme de que es seguro recomendarlo.
—