|
VSantivirus No. 2039 Año 10, martes 7 de febrero de 2006
Falsa detección de AVAST "censura" nuestro boletín
http://www.vsantivirus.com/jll-070206.htm
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
En nuestro último boletín (VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006), algunos de nuestros suscriptores fueron sorprendidos por un supuesto virus. Según el antivirus AVAST, el mensaje contenía el gusano "Win32:Beagle-HT":
From: "VSAntivirus.com" <vsantivirus@vsantivirus.com>
To: "VSAntivirus" <vsantivirus@listas.vsantivirus.com>
Sent: Monday, February 06, 2006 12:14 PM
Subject: VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006
avast!: El cuerpo del mensaje fue eliminado porque contenía un virus.
|
Y así, sin más explicaciones, el antivirus borraba el contenido de todo el mensaje.
Aunque el hecho no debería sorprendernos, porque las razones para que algo así ocurra ya fueron explicadas tiempo atrás en uno de nuestros boletines (ver "¿Virus en nuestros boletines?", "Nuestro sistema de seguridad ha detectado un virus",
http://www.vsantivirus.com/21-10-03.htm), ciertamente nos causó curiosidad el tema, y decidimos averiguar que llegaba a detectar el AVAST para que tomara tan radical decisión.
Primero que nada, y como ya deberían saber al menos nuestros más antiguos suscriptores, nuestros boletines se entregan siempre en formato solo texto, y jamás contienen adjuntos. Sin embargo, por las características de los mismos (descripciones de virus), pueden parecer sospechosos a ciertos filtros que se basen solo en el texto.
Ahora bien, un antivirus no debería confiar en este tipo de examen para confirmar si existe o no un virus en un mensaje. Todos los antivirus pueden tener ocasionalmente, lo que se denomina un "falso positivo", o sea, confundir cierta secuencia de códigos con parte de un programa malicioso (un virus es en definitiva un programa).
Que un sitio web filtre ciertas cadenas incluidas en los mensajes, para evitar la propagación de un gusano, no es para nada perfecto, ni mucho menos ideal, pero lamentablemente suele ocurrir.
Pero un antivirus debería realizar un examen más profundo. Con esa premisa en mente, de todos modos la primera deducción lógica era pensar que la falsa detección se encontraba en alguna parte de la descripción del gusano
Win32/Bagle.FB.
Copiamos el boletín en un simple mensaje de texto con la ayuda del bloc de notas (un simple .TXT), y solo dejamos la descripción del Bagle.FB. Lo enviamos al servicio de VirusTotal
(http://www.virustotal.com/), y el AVAST reportó un virus:
Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]
Dividimos el texto en dos mitades, y nuevamente enviamos ambas a VirusTotal. Esta vez solo la segunda mitad hacía saltar la alarma del AVAST. Dividimos esa segunda mitad, y de esa forma repetimos sucesivamente el proceso, hasta que finalmente dimos con la combinación de código que AVAST tomaba como infectada.
Nos sorprendió descubrir que se trataba de una simple frase, parte de un texto que el gusano tiene en su código (y que no suele estar visible), pero que agregamos en la descripción del Bagle.FB de ese boletín, solo como información complementaria.
La frase que AVAST toma como virus, es la siguiente:
-- Bagle Author, 29.04.04, Germany
Si usted tiene el AVAST, se preguntará porqué no salta la alerta ahora. Ello ocurre solo porque no agregamos el punto final (después de Germany). Si desea comprobarlo, copie esa sola frase (incluidos los dos guiones del principio) a un archivo de texto, agréguele un punto enseguida de "Germany", y envíelo a VirusTotal. Verá como AVAST lo detecta como Win32:Beagle-HT.
Es cierto que no existe ningún antivirus infalible, y que cualquier producto puede cometer el error de confundir cierta secuencias de códigos con parte de un virus. Pero realmente nos sorprende que un antivirus llegue a bloquear una simple frase que de por si no tiene nada de maliciosa.
NOTA VSAntivirus (07/02/06 18:00
-0200). En la última actualización del producto, AVAST
corrigió el error que producía este falso positvo, y ya no
se produce ninguna falsa alarma con el texto mencionado.
Referencias:
NOTA: El archivo "Bagle_Autor.txt" solo contenía la frase que se describe en el artículo.
Virus Total
_______________________________________________
Scan results
File: Bagle_Autor.txt
Date: 02/07/2006 03:26:12 (CET)
----
AntiVir 6.33.0.81/20060206 found nothing
Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]
AVG 718/20060206 found nothing
Avira 6.33.0.81/20060206 found nothing
BitDefender 7.2/20060207 found nothing
CAT-QuickHeal 8.00/20060206 found nothing
ClamAV devel-20060126/20060206 found nothing
DrWeb 4.33/20060206 found nothing
eTrust-InoculateIT 23.71.70/20060207 found nothing
eTrust-Vet 12.4.2066/20060206 found nothing
Ewido 3.5/20060206 found nothing
Fortinet 2.54.0.0/20060207 found nothing
F-Prot 3.16c/20060204 found nothing
Ikarus 0.2.59.0/20060206 found nothing
Kaspersky 4.0.2.24/20060207 found nothing
McAfee 4690/20060206 found nothing
NOD32v2 1.1395/20060206 found nothing
Norman 5.70.10/20060206 found nothing
Panda 9.0.0.4/20060206 found nothing
Sophos 4.02.0/20060206 found nothing
Symantec 8.0/20060207 found nothing
TheHacker 5.9.3.091/20060206 found nothing
UNA 1.83/20060206 found nothing
VBA32 3.10.5/20060206 found nothing
|
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|