“False positives”doen zich voor wanneer een bestand wordt gemarkeerd als gevaarlijk of kwaadaardig, terwijl het in feite vrij veilig is. Iedereen die ooit met antivirussoftware te maken heeft gehad, is op een of ander moment valse positieven tegengekomen. Tot op de dag van vandaag ontvang ik nog steeds talloze opmerkingen van gebruikers die willen weten of een bestand (meestal een uitvoerbaar bestand) is gemarkeerd door een of meer antivirusprogramma’s via VirusTotal is kwaadaardig of niet.
Nu, VirusTotal scant bestanden via meerdere antivirus-engines, meestal tussen de 60 en 70 verschillende antivirus-engines, en als slechts één of twee het bestand als kwaadaardig markeren, geven alle andere het bestand een schone gezondheidsverklaring , is mijn advies altijd dat het hoogstwaarschijnlijk een fout-positief is, en vooral als de antivirusprogramma’s die het bestand markeren als kwaadaardig van de minder bekende soort zijn.
Hoe treden fout-positieven op
Antivirusoplossingen staan inherent aan de kant van voorzichtigheid, dat is een goede zaak. Het is beter om veilig te zijn dan sorry. Dit kan echter vaak leiden tot fout-positieven, eenvoudigweg gebaseerd op het gedragspatroon van een uitvoerbaar bestand plus het onvermogen van de antivirus om te beoordelen of dat gedrag met kwade bedoelingen is.
Een typisch voorbeeld is software voor het herstellen van wachtwoorden, zoals NirSoft’s MailPassView. Omdat dit soort software de mogelijkheid heeft om verborgen wachtwoorden te onthullen, kan het uiteraard voor kwaadwillende doeleinden worden gebruikt als het in verkeerde handen komt. Dit is hoe antivirusoplossingen de situatie bekijken en de software bijgevolg als kwaadaardig markeren. Veel gebruikers gebruiken echter MailPassView om hun eigen vergeten e-mailwachtwoorden op te halen, wat helemaal niet kwaadaardig is, integendeel.
Antivirusoplossingen bieden niet de mogelijkheid om onderscheid te maken tussen mogelijk kwaadaardig gebruik en wanneer een gebruiker gewoon proberen hun eigen wachtwoorden te herstellen, dus, zoals ik al zei, nemen ze het zekere voor het onzekere en zullen ze dit type software altijd als kwaadaardig markeren.
Heuristische detectie
Alle moderne antivirusoplossingen een component bevatten die items markeert op basis van gedragskenmerken, ook wel heuristische detectie genoemd. Dit type bescherming is zeer effectief tegen zero-day (voorheen onbekende) bedreigingen, maar het is ook vatbaar voor het maken van incidentele fouten. Deze incidentele fouten staan bekend als valse positieven.
Hoe weet u het zeker?
Als je het ooit niet zeker weet, VirusTotal is een geweldig hulpmiddel om een duidelijke indicatie te krijgen of een (uitvoerbaar) bestand kwaadaardig is of niet. Hoe dan ook, als u een programma voor de eerste keer installeert, en vooral als de software relatief onbekend is, moet u vóór de installatie altijd het installatiebestand door VirusTotal scannen.
Telkens wanneer ik hier bij DCT software test met het oog op een beoordeling scan ik altijd eerst het uitvoerbare bestand (installatiebestand) via VirusTotal om er zeker van te zijn dat het veilig is om aan te bevelen.
—