Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

MyLife.C y una heurística con problemas
 
VSantivirus No. 635 - Año 6 - Miércoles 3 de abril de 2002

 MyLife.C y una heurística con problemas
http://www.vsantivirus.com/03-04-02.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

El recientemente reportado MyLife.C (uno más de la ya interminable serie de variantes de este gusano), está provocando más alarmas de las que debería.

Sucede que algunos antivirus, están detectándolo en lugares en que el virus jamás se podría encontrar. O dicho en términos más técnicos, se están produciendo una cantidad importante de "falsos positivos", en este caso de este gusano en especial.

Gracias a nuestros lectores, hemos podido acceder a algunos de estos ejemplos. Generalmente son programas antiguos que de la noche a la mañana, al ser escaneados por un antivirus recién actualizado (que incluye ahora la información de los recientes MyLife), hacen saltar la alarma de infección (infected by W32/MyLife.c).

Curiosamente, al ser revisados por otros antivirus (que también detectan el MyLife.C junto a otras variantes más recientes), no muestran señal alguna del virus.

Pero en esta oportunidad, incluso hay algunos casos famosos. Por ejemplo, existen algunas herramientas, como el IP_Agent de Steve Gibson, que han sufrido esta falsa acusación.

En su sitio (grc.com ), Steve, un conocido investigador de temas de seguridad, pide a los navegantes que envíen el archivo sospechoso a los fabricantes de antivirus que provocan la falsa alarma, a los efectos que los investiguen, y corrijan su error.

Si de un día para el otro, un viejo programa o archivo, es declarado infectado por un antivirus recién actualizado, lo primero que usted debería hacer, es solicitar "otra opinión", o sea examinarlo con dos o más antivirus diferentes, por supuesto debidamente actualizados.

Si ningún otro producto detecta código sospechoso en ese archivo, debería enviar el mismo al fabricante del antivirus que dio la alarma, a los efectos que corrobore que realmente no tiene virus (mientras tanto, por un cuestión de seguridad básica, evite usar dicho archivo).

Y en caso de que realmente no contenga virus, esto le da la oportunidad al fabricante para que corrija el "falso positivo", y haga más eficiente su producto, con lo que usted mismo será el que terminará beneficiándose.

Porqué ocurren los falsos positivos

Casi todos los antivirus implementan lo que técnicamente se denomina Análisis Heurístico. Esta técnica de análisis es utilizada, por ejemplo, para detectar virus que todavía son desconocidos, y consiste básicamente en el análisis y comparación del código del programa con instrucciones que podrían ser especificas de los virus.

Cuando un antivirus en modo heurístico (implementado por defecto en muchos productos), es demasiado celoso en su trabajo, o no está optimizado para "hilar fino" al examinar las instrucciones de un programa, es cuando se producen estas falsas alarmas, ya que se confunden partes de código que tienen similitud con la usada en algunos virus, pero que en realidad son empleadas en estos casos sin intenciones malignas.

Recuerde, cuando algo así le suceda, siempre examine al supuesto culpable con dos o más productos diferentes, por supuesto que debidamente actualizados, y si es posible, remita al archivo sospechoso al fabricante del antivirus que parece ser "demasiado chismoso".

Esto le da la oportunidad de que, o bien se confirme el virus (siempre existe una remota posibilidad), o bien, como sucede en la mayoría de los casos, el fabricante corrija el problema, y optimice su producto para que sea más eficiente en futuras ocasiones.


Relacionados:

VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm

VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS