En el articulo Como funciona un Antivirus? vimos como los antivirus, cuando analizan un archivo, buscan ciertos patrones en comun que dicho archivo tiene con distintos tipos de virus conocidos, cuyas 'firmas identificatorias' estan guardas en una base de datos, llamada 'lista de definiciones'. Si el antivirus encuentra un 'match', es decir caracteristicas similares a algun virus conocido, lo tilda como INFECTADO.
Este sistema funciona, generalmente, muy bien, sin embargo, a veces, el antivirus puede encontrar virus donde realmente no lo hay...
Hasta los antivirus se equivocan!
Cuando el antivirus cree que un archivo esta infectado, cuando en realidad es totalmente seguro, se dice que se trata de un Falso Positivo o Falsa Alarma.
Esto sucede porque a veces un archivo inocuo puede incluir en sus lineas de codigo, una sequencia binaria muy parecida o incluso identica a la de un virus. En otros casos, el inocente archivo puede tratar de realizar una accion que se asemeja a lo que un virus podria tratar de hacer, como por ejemplo, escribir en ciertas secciones del Registro de Windows.
Problemas del Falso Positivo
Imaginense que el antivirus detecta un archivo muy importante para un programa que usas a diario como 'falso positivo', y, de acuerdo a su configuracion, lo elimina inmediatamente! Obviamente tu programa dejaria de funcionar!
Como crear nuestro propio Falso Positivo!
En los siguientes pasos, les mostrare como crear un archivo inofensivo desde cero, que sera detectado como un virus por una gran cantidad de antivirus. El programa que causa este problema es Bat to Exe Converter. Un programa que ya usamos en este articulo. Este programa convierte un archivo BATCH (extension .bat) en un archivo ejecutable (extension .exe). Repito, el archivo que crees NO ESTARA INFECTADO CON NADA! Sin embargo, es muy probable que tu antivirus lo detecte como virus, mas precisamente un 'troyano'!
Si quieres, puedes primero analizar cada componente involucrado en este proyecto de forma individual usando el excelente sitio VirusTotal, para confirmar que no existe virus alguno en 'los ingredientes'. Sin embargo el producto final, una vez analizado, sera detectado como virus. Ahora si, manos a la obra!
echo ESTE ES UN FALSO POSITIVO!
PAUSE
2. Descarga y luego descomprime el programa Bat to Exe Converter,
3. Abre el programa Bat to Exe Converter. Hasta arriba en la seccion de Batch File, busca el archivo que creaste en el primer paso 'falso positivo.bat'. Ahora solo queda presionar el boton que dice 'Compile'
4. Busca el archivo falso positivo.exe en la misma carpeta donde se encuentra el archivo falso positivo.bat y analizalo con tu antivirus y antispyware o envialo a VirusTotal.
5. Sorprendete al ver como el inocente archivo que acabas de crear es considerado un Trojan.Agent!
Este sistema funciona, generalmente, muy bien, sin embargo, a veces, el antivirus puede encontrar virus donde realmente no lo hay...
Hasta los antivirus se equivocan!
Cuando el antivirus cree que un archivo esta infectado, cuando en realidad es totalmente seguro, se dice que se trata de un Falso Positivo o Falsa Alarma.
Esto sucede porque a veces un archivo inocuo puede incluir en sus lineas de codigo, una sequencia binaria muy parecida o incluso identica a la de un virus. En otros casos, el inocente archivo puede tratar de realizar una accion que se asemeja a lo que un virus podria tratar de hacer, como por ejemplo, escribir en ciertas secciones del Registro de Windows.
Problemas del Falso Positivo
Imaginense que el antivirus detecta un archivo muy importante para un programa que usas a diario como 'falso positivo', y, de acuerdo a su configuracion, lo elimina inmediatamente! Obviamente tu programa dejaria de funcionar!
Como crear nuestro propio Falso Positivo!
En los siguientes pasos, les mostrare como crear un archivo inofensivo desde cero, que sera detectado como un virus por una gran cantidad de antivirus. El programa que causa este problema es Bat to Exe Converter. Un programa que ya usamos en este articulo. Este programa convierte un archivo BATCH (extension .bat) en un archivo ejecutable (extension .exe). Repito, el archivo que crees NO ESTARA INFECTADO CON NADA! Sin embargo, es muy probable que tu antivirus lo detecte como virus, mas precisamente un 'troyano'!
Si quieres, puedes primero analizar cada componente involucrado en este proyecto de forma individual usando el excelente sitio VirusTotal, para confirmar que no existe virus alguno en 'los ingredientes'. Sin embargo el producto final, una vez analizado, sera detectado como virus. Ahora si, manos a la obra!
- Escribe el siguiente codigo en el Notepad y guardalo con el nombre de falso positivo.bat (el .bat es MUY IMPORTANTE)
echo ESTE ES UN FALSO POSITIVO!
PAUSE
2. Descarga y luego descomprime el programa Bat to Exe Converter,
3. Abre el programa Bat to Exe Converter. Hasta arriba en la seccion de Batch File, busca el archivo que creaste en el primer paso 'falso positivo.bat'. Ahora solo queda presionar el boton que dice 'Compile'
4. Busca el archivo falso positivo.exe en la misma carpeta donde se encuentra el archivo falso positivo.bat y analizalo con tu antivirus y antispyware o envialo a VirusTotal.
5. Sorprendete al ver como el inocente archivo que acabas de crear es considerado un Trojan.Agent!
Comentarios
Publicar un comentario