Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Por Bernardo Quintero (Hispasec) (*)

Hablamos de Antivirus. Un falso negativo sucede cuando un antivirus no detecta un malware, cuando deja pasar o ejecutarse un código malicioso en el sistema que está protegiendo. El falso positivo se da cuando el antivirus, por error, identifica como malware un fichero que es legítimo e inofensivo. De un tiempo a esta parte tanto falsos negativos como positivos van en aumento entre los productos antivirus y, al margen de la efectividad de los antivirus, los desarrolladores de software lo están sufriendo.

Los tiempos en los que era manejable el problema del malware con la generación de firmas reactivas y concretas para cada espécimen ya pasaron. Si bien antes los antivirus tampoco eran perfectos, al menos con ese esquema podían proporcionar una protección suficientemente buena o aceptable (no había tantos falsos negativos).

A día de hoy ese modelo hace aguas debido al volumen de nuevos especímenes que se genera a diario (en VirusTotal recibimos más de 15.000 especímenes al día). Hay que ingeniárselas para ser proactivos en la detección y poder considerarse medianamente útiles. De paso evitar que el fichero de firmas de detección del antivirus engorde tanto que se convierta en "fatware" y consuma tantos recursos que de más problemas al usuario que los propios "bichos".

Esa brutal proliferación y diversificación del malware en la actualidad, que hace el problema inmanejable con firmas de detección tradicionales, está llevando a los productos antivirus al uso de tecnologías de detección más... "genéricas" (estaba dudando que término utilizar, "inteligentes" o "brutas", de todo hay, lo dejamos en "genéricas").

Emulaciones, sandboxs, análisis del comportamiento, heurísticas más agresivas, firmas genéricas, etc. Todas estas tecnologías tienen en común la capacidad de identificación temprana y proactiva de especímenes desconocidos, sin necesidad de poseer una firma de detección específica. Por contra, también se prestan más a provocar falsos positivos, identificando como malware lo que en realidad no lo es.

Los laboratorios antivirus mantienen grandes colecciones de software bien conocido y se cuidan de evitar que sus productos los detecten como malware (el ejemplo más obvio es comprobar que no se detecta ningún fichero legítimo de Windows, y aún así hay alguna que otra anécdota al respecto). Sin embargo los desarrolladores más modestos sufren cada vez más los falsos positivos, ya que los antivirus no pueden comprobar todo el software legítimo existente, ya sea público, privativo, a medida, etc, y sólo se cuidan de evitar que sus detecciones genéricas no provoquen falsos positivos con el software más estándar o utilizado.

Un ejemplo de la "manga ancha" con la que algunos motores están identificando el malware la encontramos en la detección indiscriminada del uso de packers. Los packers son utilidades que permiten comprimir y/o añadir mecanismos de seguridad a los ejecutables. Si bien es una técnica muy utilizada por los creadores de malware para ofuscar su código en un intento de evitar la detección antivirus, también son utilizados por los creadores de software legítimo para optimizar sus ejecutables o dificultar la ingeniería inversa (para protegerse de modificaciones, crackers, espionaje, etc).

De hecho existen packers comerciales, open source, creados exclusivamente para el malware, etc. Si bien parece que tiene sentido la detección genérica de los que están íntimamente relacionados con el malware, los problemas surgen cuando algunos antivirus también están detectando de forma indiscriminada la utilización de otros packers que, además de poder ser aprovechados por los creadores de malware, tienen también usos legítimos por parte de los desarrolladores.

El resultado es que cada vez más software legítimo está siendo detectado como malware, ya sea por el uso de packers o bien simplemente porque la detección genérica del antivirus identifica de forma errónea alguna porción de código o acción que lleva a cabo el software como peligrosa o perteneciente a alguna familia de malware. Y es aquí donde comienzan los quebraderos de cabeza para el desarrollador, especialmente para la pequeña empresa o programador independiente.

¿Cómo convences al usuario de que tu software no tiene virus cuando su antivirus dice que está infectado? Es más, el usuario lo prueba con un multiantivirus y hay N-motores que coinciden que es un "bicho". El usuario no tiene lugar a dudas, ¡le estás ofreciendo software infectado!

Tras desistir con las explicaciones al usuario, escribes a los laboratorios antivirus que detectan tu software legítimo como malware para que rectifiquen. Dejas pasar unos días y... ¡oh!, no sólo te siguen detectando los que ya lo hacían, sino que hay nuevos antivirus que se han sumado a la detección.

¿De quién es la responsabilidad? ¿Deberían los desarrolladores evitar el uso de packers o técnicas que son detectadas de forma genérica por los antivirus? ¿Deberían comprobar con todos los antivirus su software antes de publicarlo, y realizar las modificaciones pertinentes para no ser erróneamente detectado antes de distribuirlo? ¿O bien deberían los antivirus facilitar y agilizar la actualización de listas blancas de software bien conocido sin discriminar a las pequeñas empresas y programadores independientes? ¿Tal vez estamos obviando otra forma de enfocar el problema? Me interesa tu opinión.

Fuente:
Falsos negativos y falsos positivos. Problemas para desarrolladores - Hispasec - Una al día 18/06/2008

(*) Bernardo Quintero es integrante de Hispasec Sistemas, laboratorio independiente de seguridad informática. Hispasec ha desarrollado Virustotal.com, servicio gratuito de análisis de ficheros sospechosos mediante el uso de múltiples motores antivirus, actualizados puntualmente con las firmas oficiales publicadas por sus desarrolladores.

jaja Eso mismo me esta pasando a mi con un programita inofencivo.
Soy estudiante de programacion y un programita que hice el avira me lo detecta como virus!! mira lo que publique dias atras: http://www.forospyware.com/t181300.html

Si las empresas antivirus siguen así, detectarán todo spftware usado en programación, detectarán visual basic por la gran cantidad de troyanos que este simple lenguaje genera, etc.

No sería mas comodo y menos dañino a los desarrolladores de (un-)packers, que las empreses AV tomen medidas menos discriminativas con sus programas, como explicar el hecho de que un archivo detectado y comprimido por cualquier packer. Explicar al usuario común que es, qué significa, los pro y contras de los "packers"?, dar a entender sus posibles reisgos, pero principalmente explicar el Porqué son detectados; ¿Las empresas desarrolladoras de "packers" no podrían demandar a una X casa AV por detectar sus archivos como malignos?, pues con esto pierden gente que compre (use) el software.

Para la cantidad de archivos, por ejemplo enviados a Virustotal, como no podrían encontrar la forma de analizar aunque sea los principales "packers" y no detectarlos como malwares?.

¿Que pasaría si un dia tu antivirus reconociera como posible infección un archivo comprimido en RAR y protegido con contraseña? y esto por que el 99% de los archivos con esas caracteristicas son reconocidos... (iun ejemplo)


Encuentro que en el caso de los Malwares, el ratón va mucho mas lejos que el gato, simplemente al gato se le escapa el ratón al tenerlo en sus narices.

Salu2

Hola a mi me paso asi con el Nod32 decia que el VGA.sys era virus cuando el virus en realidad era uno que estaba enla unidad C:\

Hola gente,

Exelente articulo de Bernardo que no hace mas que reflejar el problema que estamos pasando actualmente todos los desarrolladores de software a la mirada de los Antivirus tradicionales....

Esta es la pregunta del millón ya que al suceder esto y después que estamos anunciando y denunciando continuamente software que parece legitimo, como realmente peligroso, es lógico que el usuario al ver a su Antivirus alertarle al primero que va a crear es a este y lamentablemente no se le hace caso cuando se trata de un virus real y si cuando se trata de un error del Antivirus

La responsabilidad yo pienso que es del mercado actual en general y explico el porque?

Por un lado cada día salen se reportan cientos de amenazas nuevas y mutaciones de las actuales, por lo que a su vez cada día se le exige mas y mas a un Antivirus.

El usuario común tiene el error de pensar que si un Antivirus detecta mas cosas que otro es porque este es mejor y si este no detecta algo simplemente es malo y es por eso que las empresas AV se ven obligados en base a como se mueve el mercado en realizar sus productos con sistemas heurísticos y similares tan sensibles que detectan cualquier pequeña cosa sospechosa como una infección, para que en todo caso sea el usuario quien decida, pero que el AV haya cumplido su trabajo de informar por si a caso era un malware.

En nuestro caso incluso tendido la suerte de una canal de comunicación directa con la mayoría de las casas Antivirus tradicionales, generalmente nuestros programas son detectados como amenazas y tenemos que andar atrás de estos para informarles y que reparen sus "Falsos Positivos" , por lo que no me quiero imaginar la cantidad de desarrolladores de software que no tienen esta suerte y se les complica aun mas que estos miren y califiquen sus programas correctamente.

Salu2

Pienso que la "solucion" mas inmediata al problema se plantea en este punto:

Estoy totalmente deacuerdo, yo como desarrollador de un software antivirus he vivido ese problema, tuve el problema con dos antivirus gratuitos y uno era el Avira. Parece mentira porque siendo gratuitos te han de hacer eso, sobre todo porque no van a perder "dinero directamente", seria mas logico que lo hicieran los antivirus de pago.

También como anécdota, el chico que creó el mx one tubo el mismo problema con algunas compañias de software antivirus gratuito.

En cuanto a los packers, compresores de ejecutables...sería muy dificil para las compañias antivirus detectar cuando se ha comprimido un ejecutable malicioso, les sale mas rentable detectar el codigo que inyecta el packer/compressor/encryptador al propio malware. Deberian de dejar de detectar este tipo de programas y centrarse mas en la detección de malware con el codigo ofuscado con programas de tercero.

la duda que genera esto es saber cual antivirus es mas confiable y estable? conviene tener un AV free o es indispensable uno pago para mayor seguridad? o sea cual da falsos negativos y falsos positivos ,yo creo q lo mas importante para las empresas desarolladoras de software es q tendrian que ponerse de acuerdo con las empresas antivirus en utilizar algun acuerdo como un mejor manejo de la lista blanca para que no pase tanto esto ,en fin buen post .

Hola

Siguiendo con este problema hasta a los de Virus Total les marcan como sospechoso.

18/03/2009 Antivirus y falsos positivos... un desmadre

A Fred Cohen se le conoce como el padre de los "virus informáticos", por ser el primero en acuñar este término en la década de los 80 para describir a estos programas. Además de bautizarlos y analizarlos, en su estudio "Computer Viruses - Theory and Experiments" llegaba a la conclusión de que no existía algoritmo que pudiera detectar todos los posibles virus. Cuando ahora se cumplen 25 años de su estudio podemos decir que Cohen tenía razón y que, además, vamos a peor. Vale que no podamos detectar todo el malware pero, por favor, no detectemos a los que no lo son.
A lo largo de toda la historia del malware (los virus tienen menos de 30 años, lo que nos quedará aun por ver) las conclusiones de Cohen han pesado como una losa. A diferencia de hace unos años, donde todavía existía publicidad engañosa con aquello de "100% contra virus conocidos y desconocidos", a día de hoy quién más y quién menos no le queda más remedio que esconder sus vergüenzas. Todos asumimos que los antivirus son otra capa de seguridad que pueden minimizar nuestra ventana de amenazas, pero que en última instancia siempre estamos expuestos a sufrir una infección.

Esa conciencia sobre las limitaciones de las soluciones de seguridad y la exposición al riesgo es buena y deseable, porque permite educarnos en un uso más profiláctico de la informática, aplicando más capas de seguridad adicionales o simplemente mejorando nuestros hábitos diarios. De modo que es bueno que seamos conscientes de que nuestro antivirus sólo nos protege contra el 80% de las amenazas que potencialmente podemos recibir, quién dice 80% puede decir 65%, o 50%... pero bueno, al fin y al cabo, nos está protegiendo.

¿Realmente los porcentajes de detección pueden llegar a ser tan bajos? No, según el caso pueden ser aun peor. En los últimos tiempos existe un problema de escalabilidad en la detección de malware, simple y llanamente, los laboratorios antivirus no dan a basto con la producción actual de bichos nuevos. Si en febrero de 2004 podíamos leer en el recién estrenado blog de F-Secure: "Dos nuevas variantes de Bagle han sido avistadas. Otra vez. Parece que tendremos un fin de semana ocupado", ¿qué tendrían que decir hoy en cualquier laboratorio antivirus donde se reciben a diario miles de nuevas variantes de malware?.

Está claro que la opción de escalar el problema aplicando a los métodos de análisis tradicionales una regla de tres no es buena, si se han multiplicando por miles los especímenes diarios que puede recibir un laboratorio la solución no es multiplicar por mil los analistas. Entre otras cosas porque el negocio de los antivirus dejaría de ser rentable. Así que ahora se trabaja mucho en la automatización de análisis y heurísticas para aumentar los ratios de detección. El efecto secundario de esta automatización y heurísticas más agresivas es que los antivirus tienen un mayor número de falsos positivos, es decir, se equivocan más al detectar como malware algo que en realidad no lo es.

Esta problemática, lejos de ser una anécdota, es cada vez más preocupante. Ya la hemos tratado en una-al-día anteriormente, y vamos a peor. En Hispasec recibimos día sí, día también, mensajes de desarrolladores preguntando o quejándose de que los antivirus de VirusTotal están detectando como malware su software legítimo, con las interferencias y problemas que ello les causa ante sus clientes y su reputación global. Nosotros mismos hemos sufrido en propias carnes que VTuploader, la herramienta para enviar ficheros a VirusTotal, fuera detectada hace unas semanas, teniendo que solicitar la corrección de las firmas a los antivirus implicados.

Algo está fallando en los antivirus cuando, incluso, están aumentando los falsos positivos con los propios ficheros legítimos de Windows. Se supone que comprobar la no detección de componentes de Windows debe ser la medida más básica de control de calidad antes de publicar una nueva actualización.

Estamos ante una carrera loca por ver quién detecta mayor número y más rápido (de lo que sea), y nos estamos olvidando de que, ante todo, un antivirus no debería molestar ni interferir (demasiado) en el normal funcionamiento de los sistemas y los programas legítimos. Un usuario o una empresa puede llegar a entender que un antivirus no detecte todos los virus del mundo, incluso que se le cuele alguno que otro, pero difícilmente podrá aceptar que el antivirus le cuelgue el ordenador, borre ejecutables que no debe, o impida la ejecución de una aplicación corporativa.

No todo vale para detectar más. Estamos perdiendo el foco. Es un desmadre.

fuente

(*) Bernardo Quintero es integrante de Hispasec Sistemas, laboratorio independiente de seguridad informática. Hispasec ha desarrollado Virustotal.com, servicio gratuito de análisis de ficheros sospechosos mediante el uso de múltiples motores antivirus, actualizados puntualmente con las firmas oficiales publicadas por sus desarrolladores.

wenassssssssss


el terma de los falsos positivos es dificil erradicarlo completamente, muchos virus tienen un funcionamiento similar a algunos software y son detectados por heuristica, ya se sabe cuando llego la heuristica a las casas de antivirus de la mano de nod32 , fue y sigue siendo un gran avanze para las casas de antivirus pero tambien es logico que den algunos falsos positivos :


programas que arreglan el registro ,programas que modifican el registro despues de x infeccion ,son detectados por la heuristica de muchos antivirus por que tienen un codigo fuente muy similar a un virus ............


el tema esta ir ajustando bien la heuristica ,por ejemplo nod32 es un antivirus que dentro de lo que cabe tiene una heuristica muy bien ajustada osea da muy pocos falsos ,el antivir sin embargo da muchos falsos antivirus

lo peor es cuando las casas de antivirus añaden x programas legitimos a su base de datos cuando estos son totalmente inocuos caso :themida o muchos crypter , que son detectados como virus cuando realmente no lo son ;cierto que pueden ser usados para ocultar un servidor de un troyano o un virus pero no son programas potencialmente peligrosos .


la experiencia en este mundillo es un punto a favor para el usario en este sentido ,si sospechas que x deteccion puede ser un falso positivo pues con echar un vistazo a el archivo con un editor hex ,saldras de dudas .......


yo creo que una heuristica bien ajustada que pueda dar algun falso positivo de pascuas a ramos no esta nada mal , tambien comentar que muchos antivirus han mejorado mucho en ese sentido hace años :avg ,avast y otros eran conocidos por sus falsos positivos ,a dia de hoy ese fallo lo han corregido con creces


luego estan los falsos positivos ,creados a posta por las casas de antivirus para aumentar su base de datos , osea la gran mayoria de casas de av , meten en la base de datos un cliente de un troyano cuando el cliente por si solo es totalmente inocio para el pc , lo mas gracioso de todo es que me encontre casos en los que x antivirus detecctaba el cliente ,editor de un troyano pero no detectaba el server que es realmente lo que procuce la infeccion

vamos en definitiva si los falsos positivos son minimos ,no lo veo mal gracias a esos pequeños falsos ,estamos pillando codigos viricos malignos me refiero siempre por heuristica


saludos