"Esta zona del blog no será actualizada. Visita el nuevo Blog del Laboratorio Hispasec"

27
agosto
2008

Alertvir, paradojas antivirus

Alertvir es una especie de "avisador", tipo cliente RSS, que muestra información sobre malware, ofrecido por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Asociación de Internautas. Puedes ver el tipo de información que proporciona aquí, donde te puedes suscribir directamente evitando tener que instalarte el cliente.


La paradoja es que siendo un programa que viene de fuentes confiables, dedicado a la seguridad y, más en concreto, a dar información sobre malware, es detectado por nada más y nada menos que 26 motores antivirus:





En la web de descarga incluyen un aviso que dice: "Desde hace algún tiempo, algunos antivirus, en particular los antivirus gratuitos, estan dando falsos positivos con esta aplicación, detectándolo como si fuera un virus-troyano. Si esta aplicación la descargas de este, nuestro sitio de internet, no tienes ningún problema. El problema parece radicar en que ALERTVIR se puede comparar por su forma de actuar a un programa de Publicidad ya que realmente se conecta a un servidor externo cada cierto tiempo, en este caso el nuestro, para bajarse y mostrarte una información (la ALERTA)"


No se si se trata de la versión con la que se han intentado disculpar algunos antivirus, pero es difícil de justificar. De hecho, hoy día, la mayoría de los programas legítimos se conectan a Internet cada cierto tiempo para todo tipo de cosas, desde descargar información hasta buscar actualizaciones del propio programa. Por tanto no es justificable, por parte de los antivirus, que se detecte por ese comportamiento.


Si nos fijamos en los nombres que le dan los antivirus, veremos que hay dos tipos: aquellos que directamente le han asignado una firma específica (Win-AppCare/Alertvir.46788, PHISH/FraudTool.AlertVir.A, W32/Alertvir.A, etc.) y otros que lo detectan de una forma más genérica (PUA.Packed.UPack-2, Sus/ComPack-K, Packed/Upack, etc.). Estos últimos pueden dar la clave de porqué empezó a ser detectado y distribuido a los laboratorios antivirus: por utilizar un packer (UPack) para comprimir el ejecutable.


De hecho, si desempaquetamos el ejecutable y lo dejamos en su versión original (totalmente operativo y con la misma funcionalidad), el número de motores antivirus que lo detectan se reduce de 26 a 5. Aquí tenemos otra paradoja, precisamente lo detectan los antivirus cuya firma es más "persistente" (mejor) ante cambios provocados por packers. La única diferencia es que la utilidad pasa de tener 46KB a 528KB, pero sigue siendo muy pequeña. Partiendo de esta versión debería ser más fácil ponerse en contacto con estas 5 casas antivirus y solicitarles que corrijan el falso positivo.


Moraleja... la responsabilidad es de los antivirus, no cabe duda, que están equivocándose al detectar como malware un programa que no lo es. Pero, desde el punto de vista de un desarrollador, queda claro que el uso de determinados packers puede traer más quebraderos de cabeza que ventajas.

Enviado por bquintero a las 10:46 | Enlace permanente | Comentarios (4) | Trackbacks (0)
Comentarios
Re: Alertvir, paradojas antivirus

Si claro, a ver si ahora no vas a poder usar un packer porque "otros" no son capaces de hacer bien su trabajo.

Posted by: Juan at agosto 29,2008 09:44
Re: Alertvir, paradojas antivirus

la instalacion de los anti virus son gratis

Posted by: jose at mayo 09,2009 06:52
Re: Alertvir, paradojas antivirus

como prevenir que antivirus recomienda a este troyano(Trojan.W32/VbInject.R ) espero su consejo.

Posted by: abraham at noviembre 09,2009 15:17
Re: Alertvir, paradojas antivirus

Tengo antivirus gratuito Avast y he tenido varios errores que denominan como de "pantalla azul". La web a la que me dirige para la solución del error es: http://wer.microsoft.com/responses/Response.aspx/10/es-us/5.1.2600.2.00010300.3.0?SGD=221f3180-f6e4-4529-b4d2-d0ee640d96fc#here
Como ya es la 4ª o 5ª vez que en esta semana se me ha reiniciado solo, no me fío casi de nada.

El informe de errores de los dos últimos en el disco duro principal C:\ en la carpeta de temporales Temp\WERf140.dir00\Mini050211-01.dmp y el otro tambien en el disco duro principal C:\ en la carpeta de temporales Temp\WERf140.dir00\sysdata.xml
El ordenador se ha reiniciado solo, de nuevo y si intento descargarme el alertvir me lo paraliza identificandolo como un troyano.

Podriais decirme
1-¿como descargarme alertvir sin que me lo paralice el antivirus avast?

2-si la web de solución de problemas es fiable y si son graves los errores que me dan?
y si no es mucho pedir como puedo prevenir que no se repita el error?

Realmente dependo del ordenador para prepararme las opsiciones, así que os agradecería que me dierais una respuesta.
Agradecida de antemano. Un cordial saludo
Isabel

Posted by: Isabel Martinez at mayo 02,2011 15:08
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/303/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario

Está deshabilitado la publicación de comentarios