Como verificar se há um falso positivo no anti-vírus

3

Ran Kaspersky Rescue 10 durante a noite e o sistema saiu limpo, exceto por um atalho obscuro (um entre centenas). O Kaspersky relata o trojan como:

trojan-downloader.win32.pif.xx

e de acordo com este link da Microsoft , Kaspersky poderia ter encontrado uma infecção válida. Eu verifiquei cuidadosamente o arquivo .lnk em um editor binário e no Bloco de notas, sem nada obviamente suspeito.

Os scanners de vírus usam várias heurísticas sofisticadas (como hashes SHA256) para detectar infecções, mas elas são suscetíveis a falsos positivos. Existe alguma maneira manual de determinar definitivamente se o atalho está infectado ou se o Kaspersky acabou de encontrar um (raro) falso positivo?

UPDATE

Eu encontrei este scanner on-line . Depois de fazer o upload do meu arquivo .lnk, o Kaspersky encontrou novamente o trojan acima mencionado ... mas 55 outros scanners não encontraram nada. O atalho estava executando este comando:

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

Depois de fazer uma alteração trivial ao remover /low do comando acima, cada scanner agora mostra o atalho como limpo, incluindo o Kaspersky. Também verifiquei cmd.exe , o arquivo em lote e alguns outros atalhos com comandos semelhantes. Nada detectado.

Com um alto grau de confiança, isso parece ser um falso positivo.

    
por AlainD 26.04.2016 / 12:23

1 resposta

2

Um "falso positivo" é definido quando o software antimalware detectou um problema, mas não foi realmente malicioso. Não há um processo simples e direto que descarta 100% dos falsos positivos. Se houvesse, nós automatizaríamos essa técnica e faríamos essa parte do software anti-malware.

Então a resposta para sua pergunta,

"Is there any manual way to determine definitively".

é: apenas um. Dessa forma, é manualmente analisar a ameaça, o que você disse que você fez no bloco de notas. Se você aplicou conhecimento suficiente (por exemplo, entender o formato do arquivo e o que ele pode fazer), então você fez tudo o que pode "definitivamente" fazer. Isso é tudo o que os melhores especialistas / especialistas em antimalware do mundo podem fazer. Não há mais nada que seja mais "definitivo", nem qualquer outro processo mais simples que seja "definitivo".

Uma abordagem que você pode usar é colocar isso em votação. Faça o upload do arquivo para o link e veja rapidamente o que o outro anti-malware pensa do arquivo.

Os fornecedores de software antimalware costumam publicar mais informações sobre ameaças detectadas em seu site. A pesquisa por "Kaspersky Threat Database levou-me ao Kaspersky VirusWatchLite e, em seguida, pode introduzir" trojan-downloader.win32.pif.xx "na caixa de filtro. Isto indica que o Kaspersky adicionou a ameaça em abril de 2010. Ao contrário de outras ameaças, essa ameaça não parece ter um hiperlink para mais informações.

Ou você pode tentar pesquisar "trojan-downloader.win32.pif.xx" na web. Isso me mostrou que "trojan-downloader.win32.pif.us" tinha alguma informação sobre isso, com o resultado da pesquisa do Google sendo o hiperlink da Microsoft que você forneceu. Então, parece que você já encontrou esse caminho para conferir.

No final, como o processo de determinar se algo é realmente malicioso está tomando uma decisão que não é totalmente automatizável, você deve tomar sua própria decisão.

Atualização: vejo sua atualização. (Eu não sei como eu perdi isso antes). Eu vejo que você encontrou o VirusTotal também. Bem, parece que você está encontrando as abordagens corretas. Considere a minha resposta como um voto de confiança de que você está fazendo as coisas certas. Considere-se satisfeito. Ou, se você não puder fazer isso, brinque um pouco mais com ele, aprendendo sobre o formato exato de um atalho do Windows e verificando cada byte em um editor hexadecimal.

    
por 26.04.2016 / 14:42