Ang “mga maling positibo” ay nangyayari sa tuwing ang isang file ay na-flag bilang mapanganib o nakakahamak kapag ito ay sa katunayan ay medyo ligtas. Ang sinumang nakipag-ugnayan sa antivirus software ay nakatagpo ng mga maling positibo sa ilang panahon o iba pa. Hanggang ngayon, nakakatanggap pa rin ako ng maraming komento mula sa mga user na gustong malaman kung ang isang file (karaniwan ay isang executable) na na-flag ng isa o higit pang mga antivirus engine sa pamamagitan ng VirusTotal ay nakakahamak o hindi.
Ngayon, VirusTotal ay nag-i-scan ng mga file sa pamamagitan ng maraming antivirus engine, sa pangkalahatan ay nasa pagitan ng 60 hanggang 70 iba’t ibang antivirus engine, at kung isa o dalawa lang ang mag-flag sa file bilang nakakahamak ngunit lahat ng iba ay nagbibigay sa file ng malinis na bill ng kalusugan , ang payo ko ay palaging malamang na ito ay isang false positive, at lalo na kung ang mga antivirus engine na iyon na nagba-flag sa file bilang nakakahamak ay hindi gaanong kilala.
Paano Nagaganap ang Mga Maling Positibong
Ang mga solusyon sa antivirus ay likas na nagkakamali sa panig ng pag-iingat, na isang magandang bagay. Mas mabuting maging ligtas kaysa magsisi. Gayunpaman, madalas itong humantong sa mga maling positibo batay lamang sa pattern ng pag-uugali ng isang executable at kawalan ng kakayahan ng antivirus na hatulan kung ang pag-uugaling iyon ay may malisyosong layunin.
Ang karaniwang halimbawa ay anumang software sa pagbawi ng password, gaya ng MailPassView ng NirSoft. Dahil ang ganitong uri ng software ay may kakayahang magbunyag ng mga nakatagong password, malinaw na magagamit ito para sa mga malisyosong layunin kapag nasa maling mga kamay. Ito ay kung paano tinitingnan ng mga solusyon sa antivirus ang sitwasyon at dahil dito ay i-flag ang software bilang nakakahamak. Gayunpaman, maraming mga gumagamit ang gumagamit ng MailPassView upang kunin ang kanilang sariling mga nakalimutang password ng email na hindi naman talaga nakakahamak, sa kabaligtaran.
Ang mga solusyon sa antivirus ay hindi kasama ang kakayahang makilala sa pagitan ng posibleng malisyosong paggamit at kapag ang isang gumagamit ay simple. sinusubukang bawiin ang kanilang sariling mga password kaya, tulad ng nabanggit ko, nagkakamali sila sa panig ng pag-iingat at palaging i-flag ang ganitong uri ng software bilang nakakahamak.
Heuristic Detection
Lahat ng modernong solusyon sa antivirus magsama ng isang bahagi na nagba-flag ng mga item batay sa mga ugali ng pag-uugali, na kilala bilang heuristic detection. Ang ganitong uri ng proteksyon ay napaka-epektibo laban sa zero-day (dating hindi alam) na mga banta ngunit ito ay may posibilidad din na gumawa ng paminsan-minsang pagkakamali. Ang mga paminsan-minsang pagkakamaling ito ay kilala bilang mga maling positibo.
Paano Ka Makatitiyak?
Kung sakaling hindi ka sigurado, VirusTotal ay isang napakahusay na mapagkukunan upang makakuha ng isang malinaw na indikasyon kung ang isang file (executable) ay nakakahamak o hindi. Anuman, kung nag-i-install ka ng program sa unang pagkakataon, at lalo na kung medyo hindi kilala ang software, dapat mong palaging i-scan ang setup file sa pamamagitan ng VirusTotal bago ang pag-install.
Sa tuwing susubukan ko ang software dito sa DCT na nasa isip ang pagsusuri, palagi kong ini-scan ang executable (setup file) sa pamamagitan ng VirusTotal muna upang matiyak na ligtas itong irekomenda.
—