Por Adrian Bridgwater
Qualquer usuário com certo interesse em segurança de TI encontrará em algum momento a expressão paradoxal "falsos positivos". O termo é usado para designar uma falsa identificação de vírus, pishing ou qualquer ameaça. Ou seja, quando o antivírus sinaliza a presença de um malware em uma mensagem que, na realidade, não está infectada.
Por que ocorrem falsos positivos?
Os falsos positivos podem ocorrer quando um filtro de spam identifica uma mensagem legítima como prejudicial. O filtro pode estar instalado no equipamento do usuário ou em um servidor da rede da empresa e, em ambos dos casos, o resultado é o mesmo: a mensagem é devolvida para o remetente ou colocada em quarentena, marcada como prejudicial e, eventualmente, excluída.
Esse diagnóstico equivocado pode ocorrer também fora do e-mail, em qualquer situação em que os padrões do conteúdo forem identificados como pertencentes a uma ameaça. Se um aplicativo (ou extensão de aplicativo) apresenta comportamento associado à uma atividade maliciosa, como tentativas de mudanças no sistema operacional ou arquivos relacionados, pode ser classificado como uma ameaça pelo sistema de segurança, ocorrendo o falso positivo.
Outra situação que pode haver falso positivo é quando um usuário muda extensões de um jogo instalado, tentando executar um programa em extensão .exe ou seções de seu código, na tentativa de modificar o comportamento do game. Como isso costuma ser classificado como "ação de exploração", o antivírus bloqueia a operação.
Pode ocorrer também durante a utilização diária do computador, quando as linhas de código binário de algum software legítimo são similares a de algum vírus. Os fabricantes de antivírus desenvolvem sistemas com sofisticação que vão além do fator de "coincidência aleatória" que estamos sugerindo, mas é uma orientação geral para usuários de computador.
O que os usuários podem fazer quanto aos falsos positivos?
Então, se um sistema de computador classifica de forma falsa um pedaço de código de software não malicioso como spam, adware ou uma ameaça de qualquer tipo, há alguma coisa que o usuário possa fazer? A resposta é sim, e as primeiras ações devem estar focadas em atualizar seu pacote antivírus para a versão mais recente. Se já estiver com a última versão do programa antivírus, ainda é recomendado atualizar as "definições de vírus", iniciando uma atualização online do produto.
Estar ciente da existência de falsos positivos é importante para qualquer usuário, especialmente se você pretende (como a maioria de nós inevitavelmente irá) baixar extensões ou complementos para um aplicativo.
*Texto escrito e postado por Adrian Bridgwater no Blog da AVG Technologies. Adrian Bridgwater é inglês e jornalista freelance especializado em desenvolvimento de plataforma de software, bem como todos os aspectos relacionados com engenharia de software e gerenciamento de projetos. Bridgwater escreve para publicações como Computer Weekly, Dr Dobbs Journal, Cloud PRO, BCW & eWeek Europe, entre outros.
Sobre AVG Technologies
A AVG é uma das líderes globais em solução de segurança, protegendo mais de 120 milhões de usuários em 167 países das crescentes ameaças da web, como vírus, spam, golpes eletrônicos e de hackers na Internet. A AVG tem quase 20 anos de experiência em combater o cibercrime e possui um dos mais avançados laboratórios para detecção, apreensão e combate a ameaças na Internet. O seu software gratuito, que pode ser baixado na Internet, permite que usuários iniciantes tenham proteção básica e, com baixos custos, evoluam para maiores níveis de proteção e satisfação. A AVG possui cerca de seis mil revendas, distribuidores e parceiros em todos os lugares do mundo, incluindo Amazon.com, CNET, Cisco, Ingram Micro, Wal-Mart, e Yahoo! No Brasil, a Winco é a distribuidora exclusiva das soluções da fabricante.
Mais informações em www.avgbrasil.com.br
Siga o perfil exclusivo da Trama sobre tecnologia: @tramati