“artigo retirado do AVG Official Blogs”
Por Adrian Bridgwater
Qualquer usuário com certo interesse em segurança de TI encontrará em algum momento a expressão paradoxal denominada “falsos positivos”. Um falso positivo é o termo que usamos para descrever a “falsa” identificação de um pedaço de código de um software como uma correspondência de identificação “positiva” com um código pertencente a um vírus, worm, phishing scam relacionados a spam – ou, na verdade, qualquer outra forma de ameaça, definido por um conjunto de proteção antivírus.
Quando é que os falsos positivos ocorrem?
Os falsos positivos podem ocorrer quando um filtro de spam identifica positivamente uma mensagem legítima como prejudicial. Um filtro de spam pode residir em qualquer desktop de um usuário (e, portanto, pode ser considerado como “client-side“) ou em um servidor back office (onde pode ser considerado como ” server-side “) em um ambiente de rede da empresa. O resultado é o mesmo em qualquer um destes cenários: a mensagem é devolvida para o remetente do e-mail e/ou colocada em quarentena, é marcada como potencialmente prejudicial e, eventualmente, excluída.
Mas os falsos positivos podem ocorrer fora da simples filtragem de e-mail, em cenários onde qualquer código de aplicativo de software é analisado por padrões que foram identificados como pertencentes a ameaças.
Se um “app” (ou uma extensão de aplicativo – veja abaixo) apresenta comportamento identificado e/ou associado com uma atividade maliciosa, como tentativas de fazer modificações no sistema operacional do computador ou em arquivos relacionados, ou uma ação para congelar um endereço de memória, então, pode ser classificado como um falso positivo, mesmo quando as ações do aplicativo foram previstas pelo usuário.
Este tipo de cenário tipicamente ocorre quando um usuário inicia um “game trainer” “ou muda as extensões de um jogo instalado para um programa aplicativo/software similar. O ”trainer” tenta executar um programa .exe menor ou seções do código para modificar o comportamento do jogo e como isso é, essencialmente, classificado como uma “ação de exploração”, o antivírus do usuário bloqueia a operação mesmo o usuário querendo que a ação aconteça. Dessa forma, ocorreu a detecção de um falso positivo.
Esta situação pode acontecer também durante a utilização mais generalizada do computador. Considere o fato de que existem literalmente milhões de vírus, e bilhões e bilhões de linhas de código de software binário. Não seria de se estranhar que um pedaço de código do vírus poderia ser comparado com a operação de um programa de software legítimo.
Obviamente, sabemos que os fabricantes das grandes marcas de antivírus desenvolvem os seus sistemas a um nível de sofisticação muito além do fator da “coincidência randômica” que estamos sugerindo aqui, mas este artigo traz conhecimento para qualquer um que usa um computador.
O que os usuários podem fazer com os falsos positivos?
Então, se um sistema de computador classifica de forma falsa um pedaço de código de software não malicioso como spam, adware ou uma ameaça de qualquer tipo, há alguma coisa que o usuário possa fazer? A resposta é sim – e as primeiras ações devem estar focadas em atualizar seu pacote antivírus para a versão mais recente. Se já estiver com a versão do programa antivírus mais atualizada, ainda é recomendado atualizar as “definições de vírus”, iniciando uma atualização online do produto, que todas as suítes de proteção de renome irão oferecer como uma opção normal de funcionamento.
Estar consciente da existência de falsos positivos é um bom conhecimento para qualquer usuário, especialmente se você pretende (como a maioria de nós inevitavelmente irá) baixar extensões de uma aplicação ou complementos de um tipo ou outro.
Quer melhorar a segurança digital da sua empresa?
- Winco Firewall – Solução com filtro web, relatórios, hotspot, VPN empresarial e muito mais.
- Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
- Connectas Cloud – VPN Empresarial. Disponibilize acesso seguro e controlado para os colaboradores externos.
- Winco DDNS – Acesse facilmente Câmeras, DVRs, computadores e outros dispositivos.
Fiz vários download diferentes de um programa, e o avg da-me a cada instalação que o .exe desse programa esta infectado. O que posso fazer?
Prezado Erico.
Obrigado por escolher o AVG como sua solução de segurança.
Existe a possibilidade de o programa estar de fato infectado. O que você pode fazer de início é atualizar seu antivírus para a versão mais recente (no caso é o AVG 2013 http://www.avgbrasil.com.br/avg-free-antivirus-gratis/) e, depois, atualizar as definições de vírus. Se ainda assim estiver acusando como um vírus, entre em contato com nosso suporte no suporte.tecnico@avgbrasil.com.br. Um técnico especializado entrará em contato para poder ajudar.
Espero poder ter ajudado e se precisar de algo mais, à disposição.
Mas a versao que tenho e uma oficial, e como referi ja fiz o download varias vezes, e de diferentes fontes e dá sempre virus. Por isso, e que acho estranho!