19
mayo
2007

¿Falsos positivos o guerra sucia?

buen rollito entre antivirus
[Malware] 
Esta mañana me comentaba Sergio de los Santos un "pequeño problemilla" de usuarios con la versión China de Windows por un falso positivo de Symantec. Creo que va a escribir sobre ello en una-al-día, así que podréis leer sobre el tema en la web de Hispasec hoy o mañana. Comentando sobre otros casos similares, terminé derivando sobre falsos positivos de motores antivirus de la competencia.


Empecé medio en broma, comentando que si tuviera la "mirada sucia" pensaría que son falsos positivos a conciencia, ya que es una forma de asegurarte que no entre la competencia en un sistema donde ya tienes tu producto instalado. Me explico:


A un usuario común no se le ocurre instalar 2 antivirus simultáneamente, pero si es habitual que utilicen algunos de los antivirus en línea para tener una segunda opinión. Cuando un usuario analiza su sistema con un antivirus online y detecta cosas que su antivirus residente deja pasar, evidentemente es un palo para su antivirus habitual y puede pensar que la marca del antivirus online es mejor. Siempre he pensado que, además de útiles, los antivirus online son una excelente herramienta de marketing.


Desde hace bastante tiempo se han dado casos de que ciertos motores antivirus detectaban algunos componentes de los antivirus online de la competencia, impidiendo así su ejecución. Incluso estos casos han dado lugar a algunas leyendas urbanas sobre si alguna que otra compañía infectaba los ordenadores con su antivirus online. Aunque pueden resultar llamativos, no dejan de ser falsos positivos como otros cualquiera, así que suponía que estos incidentes se habrían solucionado como suele ser habitual en estos casos.


Los laboratorios antivirus contemplan este tipo de casuísticas, una firma o heurística puede por error identificar un software legítimo como virus o malware. Si es problema de la firma se puede modificar, otra opción más usual es meter al software legítimo, detectado por error, en una lista blanca para evitar darlo como positivo. Esto ocurre a diario, últimamente más debido a que están siendo más agresivos con las heurísticas y firmas genéricas.


He probado con los componentes del antivirus online de Panda, y...



Esto no es nuevo, supongo que ya habrán tenido más de un rifi-rafe entre las compañías antivirus por estos temas, pero no me esperaba que siguieran igual. ¿Falsos positivos o guerra sucia?

Enviado por bquintero a las 20:27 | Enlace permanente | Comentarios (2) | Trackbacks (0)
Comentarios
Re: ¿Falsos positivos o guerra sucia?


Pues si amigo, intencionado o no, el tema dá que pensar la verdad....
Un saludo

Posted by: destroyer at mayo 20,2007 13:05
Re: ¿Falsos positivos o guerra sucia?

En el caso de avast! que es el que más nos concierne, comentar que el que detecte a componentes de Panda como virus es algo que viene ya de mucho tiempo atrás, incluso antes de que existiera la herramienta online de la casa del osito.

La razón, con la cual podemos estar de acuerdo o no, está explicada en esta url:

http://www.latiendaavast.com/foro/viewtopic.php?t=14

Aquí tenéis la explicación oficial de Alwil Software (en inglés):

http://www.avast.com/eng/virus_detection_and.html#idt_1554

Por tanto, en este caso la intención no ha sido ni es perjudicar a la competencia en este aspecto. Otra cosa es que pensemos que no sería tan difícil que avast! obviara estos archivos de Panda, pero esto entra dentro de la política empresarial y nosotros como distribuidores sólo podemos dar nuestra opinión.

Un saludo.

Posted by: Juanjo at mayo 20,2007 17:29
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/216/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario