CUANDO LOS ANTIVIRUS DAN UN FALSO POSITIVO

Al falso positivo que da el antivirus ClamWin (tambien llamado KlamAV o ClamAV) con los juegos creados con Multimedia Fusion, ahora se le suma un nuevo episodio que ya fue comunicado a Kaspersky y corregido, un falso positivo con los juegos hechos con Mugen.

Por qué pasa esto? Los antivirus detectan de dos formas: por base de datos de string, esto es una secuencia de código y por método heuristico, esto es por comportamiento. Por ejemplo pueden confundir el comportamiento de un programa que se conecta a un sevidor para jugar con un adware que envia datos publicitarios o confundir un string inofensivo de un programa normal con el string de un virus.

Recientemente el antivirus Kaspersky da un falso positivo muy raro. Encuentra un virus cuyo nombre no existe en un archivo creado muchisimos años antes de la aparición de la familia a la que ese virus se supone pertenece. Aquí el informe:

Antivirus utilizados: 35
Probabilidad de contenido sospechoso: 3% (1/35)
Probabilidad de error o falso negativo: 97%
Nombre de archivo: Winmugen.exe
Tamaño de archivo: 295936 byte
Tipo de archivo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 05ae95f538a8e4b2a607c348a0f77388
SHA1 : 2bbdd75af998f043e3ad0f4b099a67298cf6c514

Antivirus -Ver Engine -Ver Sig -Fecha -Hora -Resultado del Scan

a-squared -5.0.0.11 -20100623154315 -2010-06-23 -40.09 - Limpio
AhnLab -V3 -2010.06.18.01 -2010.06.18 -2010-06-18 -40.09 - Limpio
AntiVir -8.2.2.6 7.10.8.159 -2010-06-23 -0.28 - Limipio
Antiy -2.0.18 -20100620.4774407 -2010-06-20 -0.02 - Limpio
Arcavir 2009 -201006230158 -2010-06-23 -0.28 - Limpio
Authentium -5.1.1 -201006222127 -2010-06-22 -3.43 - Limpio
AVAST! -4.7.4 100623-0 -2010-06-23 -0.08 - Limpio
AVG -8.5.793 271.1.1/2957 -2010-06-23 -1.36 - Limpio
BitDefender -7.90123.6271520 7.32371 -2010-06-23 -4.05 - Limpio
ClamAV -0.96.1 -11249 -2010-06-23 -0.23 - Limpio
Comodo -3.13.579 -5192 -2010-06-23 -40.09 - Limpio
CP Secure -1.3.0.5 -2010.06.23 -2010-06-23 -0.20 - Limpio
Dr.Web -5.0.2.3300 -2010.06.23 -2010-06-23 -8.59 - Limpio
F-Prot -4.4.4.56 -20100622 -2010-06-22 -3.42 - Limpio
Fortinet -4.1.133 12.78 -2010-06-22 -32.93 - Limpio
GData -21.394/21.141 -20100622 -2010-06-22 -40.09 - Limpio
ViRobot 2010-0622 -2010.06.22 -2010-06-22 -2.49 - Limpio
Ikarus -T3.1.01.84 -2010.06.23.76126 -2010-06-23 -7.05 - Limpio
JiangMin -13.0.900 -2010.06.23 -2010-06-23 -40.09 - Limpio
Kaspersky - 5.5.10 -2010.06.23 -2010-06-23 -0.13 - Worm.Win32.Qvod.agt
KingSoft -2009.2.5.15 -2010.6.23.21 -2010-06-23 -40.09 - Limpio
McAfee -5400.1158 6021 -2010-06-22 -16.49 - Limpio
Microsoft -1.5902 -2010.06.22 -2010-06-22 -8.22 - Limpio
Norman -6.05.10 6.05.00 -2010-06-22 -4.01 - Limpio
Panda -9.05.01 -2010.06.22 -2010-06-22 -40.09 - Limpio
Trend Micro -9.120-1004 7.262.10 -2010-06-23 -0.00 - Limpio
Quick Heal -10.00 -2010.06.23 -2010-06-23 -40.09 - Limpio
Rising -20.0 22.53.02.04 -2010-06-23 -40.09 - Limpio
Sophos -3.07.1 4.54 -2010-06-23 -4.48 - Limpio
Sunbelt -3.9.2426.2 -6490 -2010-06-22 -40.09 - Limpio
Symantec -1.3.0.24 -20100615.005 -2010-06-15 -3.12 - Limpio
nProtect 2010-0622.01 -8754154 -2010-06-22 -40.09 - Limpio
The Hacker -6.5.2.0 -v00303 -2010-06-22 -40.10 - Limpio
VBA32 -3.12.12.5 -20100623.0914 -2010-06-23 -2.97 - Limpio
VirusBuster -4.5.11.10 -10.126.98/2021957 -2010-06-23 -2.74 - Limpio

NOTA Y CONCLUSIONES: Worm.Win32.Qvod.agt no se encuentra en ninguna base de datos de virus.

Indudablemente se trata de un error del antivirus Kaspersky, ya que el archivo presenta un porcentaje de seguridad del 100 % para todos los demás antivirus.

Como evitar estos malos momentos que nos pueden hacer pasar un antivirus destruyendo archivos del sistema, evitando que juguemos un juego on-line inofensivo, impidiendo el uso de un driver o evitando la ejecución de un juego completamente limpio:

Pueden buscar el virus en Google tal como lo nombra el antivirus con comillas (ver ejemplo) y subir el archivo sospechoso a una base de escaneo online, por ejemplo:

http://virscan.org/