Por Bernardo Quintero (Hispasec) (*)

Hablamos de Antivirus. Un falso negativo sucede cuando un antivirus no detecta un malware, cuando deja pasar o ejecutarse un código malicioso en el sistema que está protegiendo. El falso positivo se da cuando el antivirus, por error, identifica como malware un fichero que es legítimo e inofensivo. De un tiempo a esta parte tanto falsos negativos como positivos van en aumento entre los productos antivirus y, al margen de la efectividad de los antivirus, los desarrolladores de software lo están sufriendo.

Los tiempos en los que era manejable el problema del malware con la generación de firmas reactivas y concretas para cada espécimen ya pasaron. Si bien antes los antivirus tampoco eran perfectos, al menos con ese esquema podían proporcionar una protección suficientemente buena o aceptable (no había tantos falsos negativos).

A día de hoy ese modelo hace aguas debido al volumen de nuevos especímenes que se genera a diario (en VirusTotal recibimos más de 15.000 especímenes al día). Hay que ingeniárselas para ser proactivos en la detección y poder considerarse medianamente útiles. De paso evitar que el fichero de firmas de detección del antivirus engorde tanto que se convierta en "fatware" y consuma tantos recursos que de más problemas al usuario que los propios "bichos".

Esa brutal proliferación y diversificación del malware en la actualidad, que hace el problema inmanejable con firmas de detección tradicionales, está llevando a los productos antivirus al uso de tecnologías de detección más... "genéricas" (estaba dudando que término utilizar, "inteligentes" o "brutas", de todo hay, lo dejamos en "genéricas").

Emulaciones, sandboxs, análisis del comportamiento, heurísticas más agresivas, firmas genéricas, etc. Todas estas tecnologías tienen en común la capacidad de identificación temprana y proactiva de especímenes desconocidos, sin necesidad de poseer una firma de detección específica. Por contra, también se prestan más a provocar falsos positivos, identificando como malware lo que en realidad no lo es.

Los laboratorios antivirus mantienen grandes colecciones de software bien conocido y se cuidan de evitar que sus productos los detecten como malware (el ejemplo más obvio es comprobar que no se detecta ningún fichero legítimo de Windows, y aún así hay alguna que otra anécdota al respecto). Sin embargo los desarrolladores más modestos sufren cada vez más los falsos positivos, ya que los antivirus no pueden comprobar todo el software legítimo existente, ya sea público, privativo, a medida, etc, y sólo se cuidan de evitar que sus detecciones genéricas no provoquen falsos positivos con el software más estándar o utilizado.

Un ejemplo de la "manga ancha" con la que algunos motores están identificando el malware la encontramos en la detección indiscriminada del uso de packers. Los packers son utilidades que permiten comprimir y/o añadir mecanismos de seguridad a los ejecutables. Si bien es una técnica muy utilizada por los creadores de malware para ofuscar su código en un intento de evitar la detección antivirus, también son utilizados por los creadores de software legítimo para optimizar sus ejecutables o dificultar la ingeniería inversa (para protegerse de modificaciones, crackers, espionaje, etc).

De hecho existen packers comerciales, open source, creados exclusivamente para el malware, etc. Si bien parece que tiene sentido la detección genérica de los que están íntimamente relacionados con el malware, los problemas surgen cuando algunos antivirus también están detectando de forma indiscriminada la utilización de otros packers que, además de poder ser aprovechados por los creadores de malware, tienen también usos legítimos por parte de los desarrolladores.

El resultado es que cada vez más software legítimo está siendo detectado como malware, ya sea por el uso de packers o bien simplemente porque la detección genérica del antivirus identifica de forma errónea alguna porción de código o acción que lleva a cabo el software como peligrosa o perteneciente a alguna familia de malware. Y es aquí donde comienzan los quebraderos de cabeza para el desarrollador, especialmente para la pequeña empresa o programador independiente.

¿Cómo convences al usuario de que tu software no tiene virus cuando su antivirus dice que está infectado? Es más, el usuario lo prueba con un multiantivirus y hay N-motores que coinciden que es un "bicho". El usuario no tiene lugar a dudas, ¡le estás ofreciendo software infectado!

Tras desistir con las explicaciones al usuario, escribes a los laboratorios antivirus que detectan tu software legítimo como malware para que rectifiquen. Dejas pasar unos días y... ¡oh!, no sólo te siguen detectando los que ya lo hacían, sino que hay nuevos antivirus que se han sumado a la detección.

¿De quién es la responsabilidad? ¿Deberían los desarrolladores evitar el uso de packers o técnicas que son detectadas de forma genérica por los antivirus? ¿Deberían comprobar con todos los antivirus su software antes de publicarlo, y realizar las modificaciones pertinentes para no ser erróneamente detectado antes de distribuirlo? ¿O bien deberían los antivirus facilitar y agilizar la actualización de listas blancas de software bien conocido sin discriminar a las pequeñas empresas y programadores independientes? ¿Tal vez estamos obviando otra forma de enfocar el problema? Me interesa tu opinión.

Fuente:
http://www.hispasec.com/unaaldia/3525

(*) Bernardo Quintero es integrante de Hispasec Sistemas, laboratorio independiente de seguridad informática. Hispasec ha desarrollado Virustotal.com, servicio gratuito de análisis de ficheros sospechosos mediante el uso de múltiples motores antivirus, actualizados puntualmente con las firmas oficiales publicadas por sus desarrolladores.

jaja Eso mismo me esta pasando a mi con un programita inofencivo.
Soy estudiante de programacion y un programita que hice el avira me lo detecta como virus!! mira lo que publique dias atras: http://www.forospyware.com/t181300.html

Si las empresas antivirus siguen así, detectarán todo spftware usado en programación, detectarán visual basic por la gran cantidad de troyanos que este simple lenguaje genera, etc.

No sería mas comodo y menos dañino a los desarrolladores de (un-)packers, que las empreses AV tomen medidas menos discriminativas con sus programas, como explicar el hecho de que un archivo detectado y comprimido por cualquier packer. Explicar al usuario común que es, qué significa, los pro y contras de los "packers"?, dar a entender sus posibles reisgos, pero principalmente explicar el Porqué son detectados; ¿Las empresas desarrolladoras de "packers" no podrían demandar a una X casa AV por detectar sus archivos como malignos?, pues con esto pierden gente que compre (use) el software.

Para la cantidad de archivos, por ejemplo enviados a Virustotal, como no podrían encontrar la forma de analizar aunque sea los principales "packers" y no detectarlos como malwares?.

¿Que pasaría si un dia tu antivirus reconociera como posible infección un archivo comprimido en RAR y protegido con contraseña? y esto por que el 99% de los archivos con esas caracteristicas son reconocidos... (iun ejemplo)


Encuentro que en el caso de los Malwares, el ratón va mucho mas lejos que el gato, simplemente al gato se le escapa el ratón al tenerlo en sus narices.

Salu2

Hola a mi me paso asi con el Nod32 decia que el VGA.sys era virus cuando el virus en realidad era uno que estaba enla unidad C:\

Hola gente,

Exelente articulo de Bernardo que no hace mas que reflejar el problema que estamos pasando actualmente todos los desarrolladores de software a la mirada de los Antivirus tradicionales....

Esta es la pregunta del millón ya que al suceder esto y después que estamos anunciando y denunciando continuamente software que parece legitimo, como realmente peligroso, es lógico que el usuario al ver a su Antivirus alertarle al primero que va a crear es a este y lamentablemente no se le hace caso cuando se trata de un virus real y si cuando se trata de un error del Antivirus

La responsabilidad yo pienso que es del mercado actual en general y explico el porque?

Por un lado cada día salen se reportan cientos de amenazas nuevas y mutaciones de las actuales, por lo que a su vez cada día se le exige mas y mas a un Antivirus.

El usuario común tiene el error de pensar que si un Antivirus detecta mas cosas que otro es porque este es mejor y si este no detecta algo simplemente es malo y es por eso que las empresas AV se ven obligados en base a como se mueve el mercado en realizar sus productos con sistemas heurísticos y similares tan sensibles que detectan cualquier pequeña cosa sospechosa como una infección, para que en todo caso sea el usuario quien decida, pero que el AV haya cumplido su trabajo de informar por si a caso era un malware.

En nuestro caso incluso tendido la suerte de una canal de comunicación directa con la mayoría de las casas Antivirus tradicionales, generalmente nuestros programas son detectados como amenazas y tenemos que andar atrás de estos para informarles y que reparen sus "Falsos Positivos" , por lo que no me quiero imaginar la cantidad de desarrolladores de software que no tienen esta suerte y se les complica aun mas que estos miren y califiquen sus programas correctamente.

Salu2

Pienso que la "solucion" mas inmediata al problema se plantea en este punto:

Estoy totalmente deacuerdo, yo como desarrollador de un software antivirus he vivido ese problema, tuve el problema con dos antivirus gratuitos y uno era el Avira. Parece mentira porque siendo gratuitos te han de hacer eso, sobre todo porque no van a perder "dinero directamente", seria mas logico que lo hicieran los antivirus de pago.

También como anécdota, el chico que creó el mx one tubo el mismo problema con algunas compañias de software antivirus gratuito.

En cuanto a los packers, compresores de ejecutables...sería muy dificil para las compañias antivirus detectar cuando se ha comprimido un ejecutable malicioso, les sale mas rentable detectar el codigo que inyecta el packer/compressor/encryptador al propio malware. Deberian de dejar de detectar este tipo de programas y centrarse mas en la detección de malware con el codigo ofuscado con programas de tercero.