O
propósito de todo antivirus é manter a salvo os nosos datos, unha
labor na que demostran unha gran solvencia. No seu afán por bloquear
novas amenazas, Nembargantes, poden errar gravemente oo tiro. Son os chamados falsos positivos, avisos provocados por unha excesiva suspicacia dos algoritmos de detección de malware.Este fogo amigo deixou unha estela de víctimas ilustres: dende Chrome, víctima dun fallo de Microsoft Security Essentials, hasta Windows XP, bombardeado sin piedade por AVG ao borrar o archivo User32.dll. Son problemas que se reparan rápidamente, pero non antes de que dañasen miles de máquinas en todo o mundo.
¿Hay alguna forma de evitar os falsos positivos sin ter que vivir sin antivirus? A respuesta é sí. Te explicamos cáles son as causas máis habituais de falsas alarmas, cómo prevenilas e como reconocer cáles son auténticas ameazas.
¿Por qué se dan falsas alarmas? ¿Qué as provoca?
Tradicionalmente, os antivirus detectaban o malware comparando os arquivos cunha base de datos de huellas -base de firmas- que era enriquecida a man polos laboratorios. A detección baseada en firmas sigue usándose, pero demostrou ser ineficaz fronte a novas ameazas e virus que trocan seu código sin parar.E por elo que casi todos os antivirus engaden unha capa de protección máis, a heurística, capaz de detectar comportamentos sospeitosos en calquer programa ou virus nada máis executarse no sistema. Algunhas conductas detectadas como sospeitosas son, por exemplo, as seguintes:
- Descargar executables en segundo plano
- Abrir procesos sen solicitar permiso
- Intervir noutro programa
- Leer texto doutros programas
- Sobrescribir archivos de sistema
- Acceder a parte vitais do sistema
- Cargarse en áreas de memoria reservadas
O escudo de comportamiento de avast! é un exemplo de protección heurística moi sensible
Cómo se distingue un falso positivo de malware xenuino?
Recoñecer falsos positivos é como recoñecer spam e programas engañosos: unha aprendizaxe que requere moito tempo e práctica. Con todo, hai unha serie de pasos que axudan a decidir con bastante acerto acerca da peligrosidade dun programa.- Pedir unha segunda opinión a outros antivirus Tato Antivirus 3000 dixo-te que o programa que acabas de baixar está infectado. Ben, pero ¿qué din os demáis? Con VirusTotal, Jotti ou Metascan podes pedir unha segunda opinión a máis de 40 antivirus distintos. Se a proporción é inferior ao 20%, difícilmente estarás ante unha amenaza real.
- Indagar o nombre do virus detectado (¿é xenérico?) Alguns antivirus, os máis educados, din-te si o que acaban de detectar é unha simple sospeita ou algo seguramente dañino. Outros evitan confundir ao usuario e proporcionan nomes xenéricos, tipo W32.Suspicious ou Not-a-virus. Nese caso, busca o programa en Google para comprobar a sua fama.
- Conoces este programa? ¿En serio é o que querías? Buscar en Google non soe ser suficiente. ¿Cómo conseguiste o programa? Bajaste-lo dunha páxina segura ou dunha sin garantías? ¿Tal vez o baixaste dende páxinas P2P sin comprobar antes a reputación da descarga? E sobre todo, É o que estabas buscando? ¿O executaches voluntariamente, sabendo o que é?
- [Avanzado] Compara a firma MD5 do arquivo coa do orixinal Si te fías da página da cal baixaste o arquivo e consideras que o mesmo é seguro, pero ainda así sigues sospeitando do executable, a medida definitiva é sacarlle as pegadas de identidade (hash) ao arquivo e compara-la coa que o autor proporciona na sua páxina. Podes face-lo, por exemplo, con MultiHasher.
- Enviar un correo electrónico ao autor ou preguntar nos foros oficiais A maioría dos autores soen percatarse moi cedo do problema, pero a menudo non poden actuar de inmediato por culpa da lenta burocracia dalgunhas casas de antivirus. Non obstante, estarán encantados de desmentir as falsas alarmas nos foros oficiais ou na sua páxina web.
Verdade a través do consenso: si moitos antivirus coinciden en que un programa é peligroso... éo.
Cómo evitar as falsas alarmas sin prescindir do antivirus
El problema dos falsos positivos non é tan frecuente como se puede maxinar, sobre todo dende que los antivirus usan datos recolleitos en millons de ordeadores -datos na nube- para confirmar a aparición dunha ameaza ou nonn. Así e todo, si tes o antivirus mal configurado e deixas que actúe pola sua conta, os danos non tardarán en chegar.Para asegurarte de que a defensa proactiva da teu antivirus non dispara a todo o que se move, segue estas recomendacions:
- Reducir a sensibilidade do escáner heurístico Casi todos os antivirus permiten modificar a sensibilidad do análisis heurístico / de comportamento. Mira nas opcions do teu antivirus e modifica a sensibilidade hasta niveis normais ou baixos. Non é recomendable ter a sensibilidade en niveis máximos.
- Activar avisos de deteccions sospeitosas Non deixes que o teu antivirus decida por ti cando estés ante casos pouco claros. Na configuración, pide que o antivirus che pregunte qué facer en caso de topar cun ejecutable de comportamento extrano.
- Desactivar el antivirus durante actualizacions e instalacions A descarga, instalación e parcheo de código de alguns programas irrita a heurística dos antivirus modernos. Si estás totalmente seguro acerca da orixe e propósito do que descargaste, desactiva temporalmente o antivirus para que este non ataque á yugular do programa.
- Notifica aos antivirus acerca de falsos positivos Esto non preven problemas no teu equipo, pero si pudestes esquivalos, é a tua oportunidade para axudar aos demáis a non caer na mesma trampa. A maioría de antivirus dispoñen de formularios de contacto nos que informar acerca de falsas alarmas.
- Busca unha nova versión do programa "sospeitoso" Si o autor tomou medidas -i é o máis probable, posto que seu pan cotidian depende de elo-, enton actualiza o programa que fai disparar as alarmas. Seguro que agora xa non da problemas (ou non tantos).
A sabiduría das masas: ferramientas como Norton Insight axudan a tomar unha decisión.
¿Sufriches algunha vez falsas alarmas de virus?
No hay comentarios:
Publicar un comentario