avast! blog

El tema de los falsos positivos es algo recurrente en el mundo de los antivirus. Hemos hablado varias veces de ello, incluso nuestro querido avast! no ha sido inmune a esta circunstancia. Esta vez ha sido McAfee la empresa víctima de un error que ha dejado dañados un número inmenso de ordenadores que tenían su solución antivirus instalada.

Según podemos leer en esta noticia de Infospyware, el “Miércoles 21 de Abril del 2010 seguramente será recordado como un Miércoles Negro para la multinacional compañía de seguridad Antivirus McAfee, al igual que para los cientos de millones de compañías y usuarios finales que utilizan este producto. Tras la actualización 5958 liberada por la empresa el día de hoy, McAfee Antivirus detecto por error un virus llamado W32/Wecorl.a que dejó a todos sus usuarios de Windows XP SP3 con problemas en sus PCs.

El falso positivo hizo saltar las alarmas del Antivirus e intentó eliminar al intruso. En realidad, lo que estaba eliminado era el archivo “svchost.exe”, importante para el funcionamiento del sistema Windows XP, causando el inmediatamente reinicio del sistema y aunque puede volver a arrancar, seguirán recibiendo cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

… Numerosos usuarios han denunciado a través de Twitter la anomalía y sus dificultades para acceder a sus equipos. Aunque todavía no hay una confirmación de cuántos equipos han sido tumbados, pueden ser miles o cientos de miles, e incluso algunos sitios especializados de internet apuntan a millones. Gizmodo apunta que en una única empresa británica hay al menos 100.000 equipos  afectados, al igual que por la red se pueden encontrar varias instituciones, Universidades, departamentos de Policía, Particulares y hasta Hospitales con problemas en sus equipos tras este fallo.”.

Podéis leer el artículo completo aquí.

avast! puede ser descargado desde varios sitios oficiales, entre ellos la sección de descarga de avast! de La tienda avast! . Pero según parece algunos están aprovechando nuestro producto y la buena acogida que está teniendo nuestra versión 5 del antivirus para publicar descargas fraudulentas, sobre todo ofreciendo avast! Pro y avast! Internet Security con licencias pirateadas.

La última semana los técnicos de avast! encontraron, mientras revisaban los envíos de posibles falsos positivos que realizan los usuarios de avast!, varios ficheros llamados AIS (avast! Internet Security, o como algunos suelen llamarla avast! Internet Suite). Una gran parte de ellos provenían de webs de descarga directa como Megaupload o Rapidshare. Nuestros análisis detectaron que hay gente que está creando instalaciones de avast! infectadas con un rootkit denominado Alureon (usualmente propagado con el nombre de codec.exe), combinando varios productos a través de un archivo instalador creado con Nullsoft Installer. Si la persona que se baja uno de estos ficheros ya tiene previamente avast! instalado, éste detectará el malware sin ningún problema.

Pero esta situación es más grave de lo que parece. Si un usuario quiere conseguir nuestros productos de pago de manera ilegal y se baja uno de estos archivos infectados con el rootkit, al ejecutar el archivo primero se instalará el malware y luego el antivirus, comprometiendo el sistema de manera muy poco recomendada, ya que cualquier instalación de un producto de seguridad en un ordenador que ya esté infectado previamente puede tener consecuencias imprevistas. Como es lógico, el entorno ideal es lo totalmente inverso: tener instalado el antivirus antes de que haya posibilidad de que entre en la máquina cualquier malware, sobre todo los rootkits que suelen ser elementos de muy difícil eliminación.

Leer más…

Hoy hemos conocido otro caso de falso positivo en un antivirus, concretamente en Kaspersky. Este famoso software de seguridad, usado por una cantidad ingente de personas en todo el mundo, ha creado gran alarma entre sus usuarios al identificar como infectadas con un troyano páginas web que mostraban publicidad de Adsense (Google), dándose el caso de que este sistema es usado en millones de sitios de internet.

Evidentemente, el mayor problema de este caso de falso positivo es la alarma creada, ya que lo usuarios no avanzados (una gran mayoría) han podido creer que páginas web de las que son asiduos visitantes representaban una amenaza para ellos.

Según informaciones de la propia Kaspersky, el problema fue solucionado unas 12 horas después de que se produjera la actualización de las bases de datos de virus que produjo tal situación.

Hace relativamente poco, avast! también fue noticia por un caso de falso positivo (ver aquí y aquí). En realidad, estas situaciones son más habituales de lo que la gente pueda pensar y no hay ningún antivirus famoso que no las haya sufrido en sus carnes en alguna ocasión. Aunque las empresas desarrolladoras hacen todo lo que está en sus manos para que no se produzcan falsos positivos, el alto índice diario de aparición de malware hace que los equipos de los laboratorios tengan que ir muchas veces contrarreloj. Pero no todo son efectos adversos: en el caso de avast!, sirvió para que ciertos procesos internos fueran mejorados y reforzados en vistas a que no pueda volver a suceder algo así, tal y como contábamos en este post.

Al igual que muchas veces os hablamos por aquí de las excelencias de nuestro antivirus, hoy tenemos que hacer examen de conciencia y hablar de un error en nuestra base de datos de firmas que ha provocado incidencias en los equipos de algunos de los usuarios de avast!.

Esta noche, avast! ha sufrido un problema de falso positivo. A las 00:15 (hora GMT) se emitió una actualización VPS, concretamente la 091203-0, que detectó numerosos archivos legítimos e inocentes como si estuvieran infectados por el Troyano Win32:Delf-MZG (o, en algunos pocos casos, como Win32:Zbot-MKK). Los ficheros afectados pertenecen a aplicaciones de alta presencia, presentes en programas de Adobe, en drivers de sonido de la marca Realtek (muy usada por muchos fabricantes de placas base para el audio integrado), en algunos reproductores multimedia, etc. El equipo de desarrollo de avast! está investigando el problema, tratando de encontrar el origen de la incidencia para estar absolutamente seguros de que no vuelva a suceder.

A las 05:50 (hora GMT), otra actualización VPS (091203-1) fue lanzada para arreglar los falsos positivos. Aquellos que no usaron sus ordenadores entre la primera y la segunda actualización de VPS (es decir, desde las 00:15 hasta las 05:50 GMT) no habrán sido afectados casi con total seguridad, y eso explicaría por qué desde La tienda avast! (distribuidor para España de avast! antivirus) no hemos recibido ningún aviso de clientes o revendedores al respecto, ya que se trata de un horario en el que el parque de ordenadores en marcha se reduce considerablemente.

El equipo de soporte de avast! está redactando tutoriales acerca de cómo arreglar los problemas causados a aquellos que se vieron afectados por la incidencia.

Pedimos, por tanto, nuestras más sinceras disculpas a los usuarios de avast! y les aseguramos fervientemente que todo el personal de avast! está trabajando para que situaciones como esta no vuelvan a ocurrir.