Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Falsa detección de AVAST "censura" nuestro boletín
 
VSantivirus No. 2039 Año 10, martes 7 de febrero de 2006

Falsa detección de AVAST "censura" nuestro boletín
http://www.vsantivirus.com/jll-070206.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy


En nuestro último boletín (VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006), algunos de nuestros suscriptores fueron sorprendidos por un supuesto virus. Según el antivirus AVAST, el mensaje contenía el gusano "Win32:Beagle-HT":
From: "VSAntivirus.com" <vsantivirus@vsantivirus.com>
To: "VSAntivirus" <vsantivirus@listas.vsantivirus.com>
Sent: Monday, February 06, 2006 12:14 PM
Subject: VSantivirus No. 2038 Año 10, lunes 6 de febrero de 2006

avast!: El cuerpo del mensaje fue eliminado porque contenía un virus.

Y así, sin más explicaciones, el antivirus borraba el contenido de todo el mensaje.

Aunque el hecho no debería sorprendernos, porque las razones para que algo así ocurra ya fueron explicadas tiempo atrás en uno de nuestros boletines (ver "¿Virus en nuestros boletines?", "Nuestro sistema de seguridad ha detectado un virus", http://www.vsantivirus.com/21-10-03.htm), ciertamente nos causó curiosidad el tema, y decidimos averiguar que llegaba a detectar el AVAST para que tomara tan radical decisión.

Primero que nada, y como ya deberían saber al menos nuestros más antiguos suscriptores, nuestros boletines se entregan siempre en formato solo texto, y jamás contienen adjuntos. Sin embargo, por las características de los mismos (descripciones de virus), pueden parecer sospechosos a ciertos filtros que se basen solo en el texto.

Ahora bien, un antivirus no debería confiar en este tipo de examen para confirmar si existe o no un virus en un mensaje. Todos los antivirus pueden tener ocasionalmente, lo que se denomina un "falso positivo", o sea, confundir cierta secuencia de códigos con parte de un programa malicioso (un virus es en definitiva un programa).

Que un sitio web filtre ciertas cadenas incluidas en los mensajes, para evitar la propagación de un gusano, no es para nada perfecto, ni mucho menos ideal, pero lamentablemente suele ocurrir.

Pero un antivirus debería realizar un examen más profundo. Con esa premisa en mente, de todos modos la primera deducción lógica era pensar que la falsa detección se encontraba en alguna parte de la descripción del gusano Win32/Bagle.FB.

Copiamos el boletín en un simple mensaje de texto con la ayuda del bloc de notas (un simple .TXT), y solo dejamos la descripción del Bagle.FB. Lo enviamos al servicio de VirusTotal (http://www.virustotal.com/), y el AVAST reportó un virus:

Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]

Dividimos el texto en dos mitades, y nuevamente enviamos ambas a VirusTotal. Esta vez solo la segunda mitad hacía saltar la alarma del AVAST. Dividimos esa segunda mitad, y de esa forma repetimos sucesivamente el proceso, hasta que finalmente dimos con la combinación de código que AVAST tomaba como infectada.

Nos sorprendió descubrir que se trataba de una simple frase, parte de un texto que el gusano tiene en su código (y que no suele estar visible), pero que agregamos en la descripción del Bagle.FB de ese boletín, solo como información complementaria.

La frase que AVAST toma como virus, es la siguiente:

-- Bagle Author, 29.04.04, Germany

Si usted tiene el AVAST, se preguntará porqué no salta la alerta ahora. Ello ocurre solo porque no agregamos el punto final (después de Germany). Si desea comprobarlo, copie esa sola frase (incluidos los dos guiones del principio) a un archivo de texto, agréguele un punto enseguida de "Germany", y envíelo a VirusTotal. Verá como AVAST lo detecta como Win32:Beagle-HT.

Es cierto que no existe ningún antivirus infalible, y que cualquier producto puede cometer el error de confundir cierta secuencias de códigos con parte de un virus. Pero realmente nos sorprende que un antivirus llegue a bloquear una simple frase que de por si no tiene nada de maliciosa.

NOTA VSAntivirus (07/02/06 18:00 -0200). En la última actualización del producto, AVAST corrigió el error que producía este falso positvo, y ya no se produce ninguna falsa alarma con el texto mencionado.


Referencias:

NOTA: El archivo "Bagle_Autor.txt" solo contenía la frase que se describe en el artículo.

Virus Total
_______________________________________________

Scan results
File: Bagle_Autor.txt
Date: 02/07/2006 03:26:12 (CET)
----
AntiVir 6.33.0.81/20060206 found nothing
Avast 4.6.695.0/20060206 found [Win32:Beagle-HT]
AVG 718/20060206 found nothing
Avira 6.33.0.81/20060206 found nothing
BitDefender 7.2/20060207 found nothing
CAT-QuickHeal 8.00/20060206 found nothing
ClamAV devel-20060126/20060206 found nothing
DrWeb 4.33/20060206 found nothing
eTrust-InoculateIT 23.71.70/20060207 found nothing
eTrust-Vet 12.4.2066/20060206 found nothing
Ewido 3.5/20060206 found nothing
Fortinet 2.54.0.0/20060207 found nothing
F-Prot 3.16c/20060204 found nothing
Ikarus 0.2.59.0/20060206 found nothing
Kaspersky 4.0.2.24/20060207 found nothing
McAfee 4690/20060206 found nothing
NOD32v2 1.1395/20060206 found nothing
Norman 5.70.10/20060206 found nothing
Panda 9.0.0.4/20060206 found nothing
Sophos 4.02.0/20060206 found nothing
Symantec 8.0/20060207 found nothing
TheHacker 5.9.3.091/20060206 found nothing
UNA 1.83/20060206 found nothing
VBA32 3.10.5/20060206 found nothing



(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS