Ir al contenido principal

Que es un Falso Positivo?

En el articulo Como funciona un Antivirus? vimos como los antivirus, cuando analizan un archivo, buscan ciertos patrones en comun que dicho archivo tiene con distintos tipos de virus conocidos, cuyas 'firmas identificatorias' estan guardas en una base de datos, llamada 'lista de definiciones'. Si el antivirus encuentra un 'match', es decir caracteristicas similares a algun virus conocido, lo tilda como INFECTADO.

Este sistema funciona, generalmente, muy bien, sin embargo, a veces, el antivirus puede encontrar virus donde realmente no lo hay...


Hasta los antivirus se equivocan!

Cuando el antivirus cree que un archivo esta infectado, cuando en realidad es totalmente seguro, se dice que se trata de un Falso Positivo o Falsa Alarma.

Esto sucede porque a veces un archivo inocuo puede incluir en sus lineas de codigo, una sequencia binaria muy parecida o incluso identica a la de un virus. En otros casos, el inocente archivo puede tratar de realizar una accion que se asemeja a lo que un virus podria tratar de hacer, como por ejemplo, escribir en ciertas secciones del Registro de Windows.

Problemas del Falso Positivo

Imaginense que el antivirus detecta un archivo muy importante para un programa que usas a diario como 'falso positivo', y, de acuerdo a su configuracion, lo elimina inmediatamente! Obviamente tu programa dejaria de funcionar!


Como crear nuestro propio Falso Positivo!

En los siguientes pasos, les mostrare como crear un archivo inofensivo desde cero, que sera detectado como un virus por una gran cantidad de antivirus. El programa que causa este problema es Bat to Exe Converter. Un programa que ya usamos en este articulo. Este programa convierte un archivo BATCH (extension .bat) en un archivo ejecutable (extension .exe). Repito, el archivo que crees NO ESTARA INFECTADO CON NADA! Sin embargo, es muy probable que tu antivirus lo detecte como virus, mas precisamente un 'troyano'!

Si quieres, puedes primero analizar cada componente involucrado en este proyecto de forma individual usando el excelente sitio VirusTotal, para confirmar que no existe virus alguno en 'los ingredientes'. Sin embargo el producto final, una vez analizado, sera detectado como virus. Ahora si, manos a la obra!

  1. Escribe el siguiente codigo en el Notepad y guardalo con el nombre de falso positivo.bat (el .bat es MUY IMPORTANTE)
                       @echo off
                        echo ESTE ES UN FALSO POSITIVO!
                        PAUSE

      2. Descarga  y luego descomprime el programa Bat to Exe Converter, 
      3. Abre el programa Bat to Exe Converter. Hasta arriba en la seccion de Batch File, busca el archivo que creaste en el primer paso 'falso positivo.bat'. Ahora solo queda presionar el boton que dice 'Compile'
      4. Busca el archivo falso positivo.exe en la misma carpeta donde se encuentra el archivo falso positivo.bat y analizalo con tu antivirus y antispyware o envialo a VirusTotal.
      5. Sorprendete al ver como el inocente archivo que acabas de crear es considerado un Trojan.Agent

Comentarios

Entradas más populares de este blog

Anatomia de una ventana del Sistema Operativo Microsoft Windows

Hoy vamos a aprender un poco sobre los nombres tecnicos de las distintas partes de una ventana de Windows.

En la siguiente foto, vemos lo que se conoce como el 'Desktop' o 'Escritorio de Windows' y sus partes mas importantes:

En la siguiente foto, podemos apreciar el Windows Explorer (NO confundir con el Internet Explorer!) y sus partes principales:
A continuacion, vemos una ventana de Firefox y los nombres tecnicos de sus distintos componentes:

Y por ultimo, dos caracteristicas exclusivas del sistema operativo Windows 7: Aero Peek y Jump Lists:

Puedes aprender a a usar las Listas de Salto (Jump Lists) en este articulo.

Diferencia entre Modo Suspendido (Sleep Mode) e Hibernacion (Hibernation Mode)

A la hora de poner la computadora a 'dormir', disponemos de 2 opciones basicas:

Sleep Mode (Modo Suspendido)Hibernate Mode ( Mode de Hibernacion)


Ambas opciones ponen a la computadora en modo de bajo consumo electrico, algo muy util si quieres ahorrar algo de dinero a fin de mes en tu boleta de la luz o conservar carga en la bateria de tu laptop. Sin embargo existen algunas diferencias muy marcadas en la forma que uno u otro sistema funciona. En este articulo vamos a explicarlas brevemente.



Sleep Mode. Mode Suspendido

Este modo es el mas comun y recomendado si vas a dejar de usar la PC por cortos periodos de tiempo. Cuando la computadora entra en Modo Suspendido, ya sea si lo activas manualmente desde el Menu de Inicio o si dejas la PC inactiva ( sin tocar su teclado o raton ) por un cierto periodo de tiempo, todos los programas que estas usando, ya sea tu navegador de internet y sus paginas abiertas, o cualquier programa que hayas abierto en ese momento, como Word, Paint, etc …

Aprobaciones de inicio de sesion para Facebook

Al igual que el sistema de Verificacion de doble paso de Google, Facebook tambien ofrece un sistema para iniciar sesion que aumenta radicalmente la seguridad de tu cuenta de Facebook. Basicamente se trata de recibir un codigo numerico unico al celular asociado con tu cuenta de Facebook e ingresar ese codigo para poder iniciar sesion en un dispositivo desconocido. Aunque coloques la contraseña correcta, si el sistema de 'aprobaciones de inicio de sesion' esta activado, no podras ingresar a tu cuenta de Facebook al menos que ingreses el codigo unico que sera enviado inmediatamente a tu celular.

Dicho codigo unico genera una cookie que Facebook usara para poder 'reconocer' tu computadora (o navegador) la proxima vez que quieras iniciar sesion desde ese mismo dispositivo, lo cual evitara que tengas que escribir un codigo nuevo cada vez que quieras iniciar sesion en Facebook.

Para activar el sistema de Aprobacion de inicio de sesion debes ir aqui:

https://www.facebook.com/s…