¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

  • añadir a favoritos
    Añadir a marcadores

Sospechado no quiere decir acusado

Consultas: 953 Comentarios: 15 Ranking: 40

Un antivirus consiste en muchos componentes. Un análisis directo de la «nocividad de programas» lo puede realizar el núcleo antivirus (donde se transfieren las solicitudes de varios componentes), el analizador heurístico (que controla el funcionamiento de programas a base de modelo de su comportamiento), los mecanismos en la nube (a base de las estadísticas de clientes sobre el funcionamiento de programas) etc.

Supongamos que algún programa empezó a escanear los datos de usuarios o inició un escaneo masivo de los archivos. ¿Qué es – un espía o un programa de control de filtración de la información? ¿Un cifrador o un sistema de cifrado de los datos personales?

¿Cómo se puede saber si un programa es legítimo o nocivo?

Los analistas antivirus y los ingenieros de software tienen mucha responsabilidad. Si un antivirus considera como nocivo el archivo de un programa que no se usa mucho o no es crítico, no pasa nada: el usuario puede continuar trabajando, al añadir el programa a las excepciones, al restaurarlo de la Cuarentena o al responder correctamente a la solicitud del antivirus sobre la aparición de un programa nocivo.

Es peor si un antivirus considera nocivos los componentes del sistema operativo o sus propios (ya encontramos muchas veces los ejemplos similares). En este caso, el equipo puede dejar de funcionar completamente. ¡Imagine si eso les pasa, por ejemplo, a la mitad de todos los equipos en China!

¿Cuál es la causa de los falsos positivos del antivirus?

Hay varias razones.

  • Un número creciente de los archivos nocivos no permite dedicar mucho tiempo al análisis de los mismos (excepto la investigación del dispositivo y comportamiento). Por eso se usan los mecanismos heurísticos – unos procedimientos específicos que valoran el nivel de peligro de los archivos a base del conocimiento sobre algún tipo de programas nocivos. Una entrada del mecanismo heurístico puede detectar miles de programas nocivos. Pero durante el desarrollo de mecanismos heurísticos, los desarrolladores afrontan varios peligros:
    • El funcionamiento de un heurístico demasiado sospechoso puede causar los falsos positivos — si en el programa analizado hay algunos fragmentos del código que son peculiaridades de programas nocivos.
    • Es fácil esquivar un heurístico “prudente”. Normalmente antes de empezar la difusión de un programa nocivo, los desarrolladores lo escanean para ver si se detecta por las soluciones antivirus más populares. Como resultado, al cambiar el código, el programa nocivo se hace «invisible» para el antivirus.
  • La necesidad de la emisión más rápida de actualizaciones (los usuarios esperan) también restringe el periodo de desarrollo de «remedios» y pruebas. Por supuesto, los test se automatizan, el número de configuraciones escaneadas crece constantemente, pero nunca se puede afrontarlo todo.
  • Actualizaciones de programas legítimos. Los usuarios no siempre actualizan el software de forma operativa, y, al mismo tiempo, las nuevas versiones del software forman parte de los conjuntos de pruebas.

Los usuarios también se equivocan. Muchas veces, cuando un antivirus nos ofrece tomar la decisión sobre algún programa, no decidimos bien. Lamentablemente, los desarrolladores de software que crearon un programa sospechoso han podido incluir no solo funciones útiles sino también las nocivas en el mismo, de cualquier tipo. Las actualizaciones de software que causaban el daño de los datos se producían más de una vez. Por supuesto, no a propósito, pero algunas veces no es así, cuando los autores de programas vuelven a empaquetar los programas legítimos y difunden sus “obras” como si no fueran nocivos.

Dr.Web recomienda

  1. En caso de sospecha de un falso positivo, envíe una notificación al laboratorio antivirus. En caso de usar la solución Dr.Web, se puede hacerlo en la página https://vms.drweb-av.es/sendvirus/?lng=es. Indique toda la información posible sobre el programa sospechoso. En caso de descargarlo e instalarlo sin ayuda – indique su fuente en Internet. Si un error se produce al realizar algunas acciones, debe describirlas. Esto permitirá ahorrar el tiempo de búsqueda del problema.

    Las mismas direcciones para los usuarios de antivirus de otros productores pueden consultarse en la página http://safezone.cc/threads/kuda-soobschit-o-lozhnom-srabatyvanii-antivirusa.23501.

  2. Si el antivirus informa sobre un posible amenaza, se recomienda:
    • Actualizar el antivirus y realizar escaneo completo;
    • Antes de aclarar la situación, restringir la comunicación con amigos y socios – no se alegrarán de recibir un troyano junto con las noticias de sus problemas.
  3. Normalmente los programas sospechosos entran en la cuarentena, y no se borran (aunque, por supuesto, Vd. puede seleccionar otra configuración en las secciones correspondientes). Para restaurar un archivo que penetró en la Cuarentena, seleccione en el menú del agente Dr.Web Herramientas y luego Administrador de la Cuarentena — se abrirá una ventana que contiene una tabla de datos sobre el estado actual de la Cuarentena.

    #drweb

    En la ventana de la Cuarentena solo los usuarios que tiene acceso a los archivos pueden ver los mismos. Para visualizar los objetos ocultos, se necesitan los permisos de Administrador.

    Active las casillas de los nombres de objetos de interés, y luego en el menú contextual seleccione Restaurar (mover el archivo requerido a la carpeta necesaria);

    ¡Atención! Restaure los archivos solo si está completamente seguro de que son legítimos!

    ¡Atención! Al sobrecargar la cuarentena, los archivos de la misma pueden ser borrados. Vigile el espacio libre en su sistema.

Ningún desarrollador de antivirus puede afirmar que nunca hubo falsos positivos de su producto nunca – ¡no damos estos ejemplos, sino trabajamos para que sus tecnologías se equivoquen con menor frecuencia!

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios