FALSO POSITIVO DE AVAST-VSAntivirus

07/02/2006 - 11:55 por Verónica B. | Informe spam
En nuestro último boletín (VSantivirus No. 2038 Año 10, lunes
6 de febrero de 2006), algunos de nuestros suscriptores
fueron sorprendidos por un supuesto virus. Según el antivirus
AVAST, el mensaje contenía el gusano "Win32:Beagle-HT":

From: "VSAntivirus.com" <vsantivirus@vsantivirus.com>
To: "VSAntivirus" <vsantivirus@listas.vsantivirus.com>
Sent: Monday, February 06, 2006 12:14 PM
Subject: VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006

avast!: El cuerpo del mensaje fue eliminado porque contenía un virus.

Y así, sin más explicaciones, el antivirus borraba el
contenido de todo el mensaje.

Aunque el hecho no debería sorprendernos, porque las razones
para que algo así ocurra ya fueron explicadas tiempo atrás en
uno de nuestros boletines (ver "¿Virus en nuestros
boletines?", "Nuestro sistema de seguridad ha detectado un
virus", http://www.vsantivirus.com/21-10-03.htm), ciertamente
nos causó curiosidad el tema, y decidimos averiguar que
llegaba a detectar el AVAST para que tomara tan radical
decisión.

Primero que nada, y como ya deberían saber al menos nuestros
más antiguos suscriptores, nuestros boletines se entregan
siempre en formato solo texto, y jamás contienen adjuntos.
Sin embargo, por las características de los mismos
(descripciones de virus), pueden parecer sospechosos a
ciertos filtros que se basen solo en el texto.

Ahora bien, un antivirus no debería confiar en este tipo de
examen para confirmar si existe o no un virus en un mensaje.
Todos los antivirus pueden tener ocasionalmente, lo que se
denomina un "falso positivo", o sea, confundir cierta
secuencia de códigos con parte de un programa malicioso (un
virus es en definitiva un programa).

Que un sitio web filtre ciertas cadenas incluidas en los
mensajes, para evitar la propagación de un gusano, no es para
nada perfecto, ni mucho menos ideal, pero lamentablemente
suele ocurrir.

Pero un antivirus debería realizar un examen más profundo.
Con esa premisa en mente, de todos modos la primera deducción
lógica era pensar que la falsa detección se encontraba en
alguna parte de la descripción del gusano Win32/Bagle.FB.

Copiamos el boletín en un simple mensaje de texto con la
ayuda del bloc de notas (un simple .TXT), y solo dejamos la
descripción del Bagle.FB. Lo enviamos al servicio de
VirusTotal (http://www.virustotal.com/), y el AVAST reportó
un virus:

Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]

Dividimos el texto en dos mitades, y nuevamente enviamos
ambas a VirusTotal. Esta vez solo la segunda mitad hacía
saltar la alarma del AVAST. Dividimos esa segunda mitad, y de
esa forma repetimos sucesivamente el proceso, hasta que
finalmente dimos con la combinación de código que AVAST
tomaba como infectada.

Nos sorprendió descubrir que se trataba de una simple frase,
parte de un texto que el gusano tiene en su código (y que no
suele estar visible), pero que agregamos en la descripción
del Bagle.FB de ese boletín, solo como información
complementaria.

La frase que AVAST toma como virus, es la siguiente:


Si usted tiene el AVAST, se preguntará porqué no salta la
alerta ahora. Ello ocurre solo porque no agregamos el punto
final (después de Germany). Si desea comprobarlo, copie esa
sola frase (incluidos los dos guiones del principio) a un
archivo de texto, agréguele un punto enseguida de "Germany",
y envíelo a VirusTotal. Verá como AVAST lo detecta como
Win32:Beagle-HT.

Es cierto que no existe ningún antivirus infalible, y que
cualquier producto puede cometer el error de confundir cierta
secuencias de códigos con parte de un virus. Pero realmente
nos sorprende que un antivirus llegue a bloquear una simple
frase que de por si no tiene nada de maliciosa.


Fuente: VSAntivirus.
Saludos
Verónica B.

"Si te caes siete veces, levántate ocho"

Preguntas similare

Leer las respuestas

#1 Jorge
08/02/2006 - 00:58 | Informe spam
Me sorprende a mi la noticia, porque tengo instalado el antivirus AVAST
desde hace más de un año y estoy suscripto a VSAntivirus.
El e-mail que dicen que detecta como falso positivo, no lo hico en mi caso.
¿entonces?


Jorge
AVAST
Versión: Feb2006 (4.6.763)
VPS: 0606-2
Respuesta Responder a este mensaje
#2 Jorge
08/02/2006 - 00:58 | Informe spam
Me sorprende a mi la noticia, porque tengo instalado el antivirus AVAST
desde hace más de un año y estoy suscripto a VSAntivirus.
El e-mail que dicen que detecta como falso positivo, no lo hico en mi caso.
¿entonces?


Jorge
AVAST
Versión: Feb2006 (4.6.763)
VPS: 0606-2
Respuesta Responder a este mensaje
#3 Verónica B.
08/02/2006 - 01:42 | Informe spam
No sé qué decirte. A mi el Avast me informó lo siguiente:avast!: El cuerpo
del mensaje fue eliminado porque contenía un virus.
Corresponde al Boletín número 2038 del día de ayer.

En el descargo que hacen, ellos mismos comprobaron este falso positivo.
Saludos
Verónica B.

"Si te caes siete veces, levántate ocho"


"Jorge" escribió en el mensaje
news:
Me sorprende a mi la noticia, porque tengo instalado el antivirus AVAST
desde hace más de un año y estoy suscripto a VSAntivirus.
El e-mail que dicen que detecta como falso positivo, no lo hico en mi


caso.
¿entonces?


Jorge
AVAST
Versión: Feb2006 (4.6.763)
VPS: 0606-2


Respuesta Responder a este mensaje
#4 Verónica B.
08/02/2006 - 01:42 | Informe spam
No sé qué decirte. A mi el Avast me informó lo siguiente:avast!: El cuerpo
del mensaje fue eliminado porque contenía un virus.
Corresponde al Boletín número 2038 del día de ayer.

En el descargo que hacen, ellos mismos comprobaron este falso positivo.
Saludos
Verónica B.

"Si te caes siete veces, levántate ocho"


"Jorge" escribió en el mensaje
news:
Me sorprende a mi la noticia, porque tengo instalado el antivirus AVAST
desde hace más de un año y estoy suscripto a VSAntivirus.
El e-mail que dicen que detecta como falso positivo, no lo hico en mi


caso.
¿entonces?


Jorge
AVAST
Versión: Feb2006 (4.6.763)
VPS: 0606-2


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida