http://www.vsantivirus.com/jll-070206.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

En nuestro último boletín (VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006), algunos de nuestros suscriptores fueron sorprendidos por un supuesto virus. Según el antivirus AVAST, el mensaje contenía el gusano "Win32:Beagle-HT":

Y así, sin más explicaciones, el antivirus borraba el contenido de todo el mensaje.

Aunque el hecho no debería sorprendernos, porque las razones para que algo así ocurra ya fueron explicadas tiempo atrás en uno de nuestros boletines (ver "¿Virus en nuestros boletines?", "Nuestro sistema de seguridad ha detectado un virus", http://www.vsantivirus.com/21-10-03.htm), ciertamente nos causó curiosidad el tema, y decidimos averiguar que llegaba a detectar el AVAST para que tomara tan radical decisión.

Primero que nada, y como ya deberían saber al menos nuestros más antiguos suscriptores, nuestros boletines se entregan siempre en formato solo texto, y jamás contienen adjuntos. Sin embargo, por las características de los mismos (descripciones de virus), pueden parecer sospechosos a ciertos filtros que se basen solo en el texto.

Ahora bien, un antivirus no debería confiar en este tipo de examen para confirmar si existe o no un virus en un mensaje. Todos los antivirus pueden tener ocasionalmente, lo que se denomina un "falso positivo", o sea, confundir cierta secuencia de códigos con parte de un programa malicioso (un virus es en definitiva un programa).

Que un sitio web filtre ciertas cadenas incluidas en los mensajes, para evitar la propagación de un gusano, no es para nada perfecto, ni mucho menos ideal, pero lamentablemente suele ocurrir.

Pero un antivirus debería realizar un examen más profundo. Con esa premisa en mente, de todos modos la primera deducción lógica era pensar que la falsa detección se encontraba en alguna parte de la descripción del gusano Win32/Bagle.FB.

Copiamos el boletín en un simple mensaje de texto con la ayuda del bloc de notas (un simple .TXT), y solo dejamos la descripción del Bagle.FB. Lo enviamos al servicio de VirusTotal (http://www.virustotal.com/), y el AVAST reportó un virus:

Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]

Dividimos el texto en dos mitades, y nuevamente enviamos ambas a VirusTotal. Esta vez solo la segunda mitad hacía saltar la alarma del AVAST. Dividimos esa segunda mitad, y de esa forma repetimos sucesivamente el proceso, hasta que finalmente dimos con la combinación de código que AVAST tomaba como infectada.

Nos sorprendió descubrir que se trataba de una simple frase, parte de un texto que el gusano tiene en su código (y que no suele estar visible), pero que agregamos en la descripción del Bagle.FB de ese boletín, solo como información complementaria.

La frase que AVAST toma como virus, es la siguiente:

-- Bagle Author, 29.04.04, Germany

Si usted tiene el AVAST, se preguntará porqué no salta la alerta ahora. Ello ocurre solo porque no agregamos el punto final (después de Germany). Si desea comprobarlo, copie esa sola frase (incluidos los dos guiones del principio) a un archivo de texto, agréguele un punto enseguida de "Germany", y envíelo a VirusTotal. Verá como AVAST lo detecta como Win32:Beagle-HT.

Es cierto que no existe ningún antivirus infalible, y que cualquier producto puede cometer el error de confundir cierta secuencias de códigos con parte de un virus. Pero realmente nos sorprende que un antivirus llegue a bloquear una simple frase que de por si no tiene nada de maliciosa.

NOTA VSAntivirus (07/02/06 18:00 -0200). En la última actualización del producto, AVAST corrigió el error que producía este falso positvo, y ya no se produce ninguna falsa alarma con el texto mencionado.


Referencias:

NOTA: El archivo "Bagle_Autor.txt" solo contenía la frase que se describe en el artículo.

(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com