Falskt positivt av ett antivirus: dess faror och hur man undviker dem

Falskt positivt av ett antivirus: dess faror

När vi installerar ett antivirusprogram på vår dator gör vi det med avsikten att det är ansvarigt för att kontrollera datorns säkerhet, upptäcka eventuella hot och eliminera det innan det är för sent. Förutom att ha gigantiska databaser använder antivirus heuristiska system som kan analysera beteendet hos filer och upptäcka aldrig tidigare sett skadlig kod. Dessa intelligenta analyssystem kan dock upptäcka hot där det inte finns några och markera filer som faktiskt är pålitliga som farliga. Detta är vad som är känt som en falsk positiv .

Vad är falskt positivt i ett antivirus

Som namnet antyder visas falskt positivt när ett antivirus har ansåg att en legitim och tillförlitlig fil är ett hot . Och därmed har du blockerat, satt i karantän eller tagit bort det.

Alla antivirus är benägna att generera mer eller mindre falska positiva resultat, även om det till stor del beror på kvaliteten på dess programmering och på de heuristiska scanningsmotorerna. Vissa antivirus, som t.ex Windows Defender, Avira eller Kaspersky tenderar att erbjuda användarna mycket få falska positiva resultat som de har mindre strikta heuristiksystem , medan Avast, AVG, Trend Micro eller Panda genererar ett oroväckande antal falska positiva, enligt de senaste AV -testerna. -Jämförelser, för att vara mycket strängare.

Det är inte dåligt att ett antivirusprogram upptäcker ett falskt positivt, precis som det inte är bra att det inte upptäcker dem. Säkerhetsföretaget bör justera heuristiken för sina säkerhetsprogram så att det är tillräckligt strikt för att hålla gömda hot utanför, men inte så strikt att det tröttnar användaren med falska hotmeddelanden.

Orsaker som genererar dem

Det finns många orsakerna till falska positiva . De vanligaste är:

  • Smakämnen användning av kompilatorer, kompressorer och packare som vanligtvis används av hackare. Dessa paketerare används av utvecklare för att skydda sin programvara, men de används också av hackare. Av denna anledning är det vanligt att antivirus upptäcker körbara filer som har använt denna typ av verktyg som möjliga hot.
  • Installatörer med reklam eller sponsrade program kan också upptäckas av säkerhetsprogram som falska adware eller valpar.
  • Program som gör ändringar i systemet . Eftersom virus vanligtvis ändrar systemfiler (särskilt DLL -bibliotek), om ett program försöker ändra dem, även om det är tillförlitligt, kommer det att detekteras av heuristiska system för att ha misstänkt beteende och därför rapporteras som falskt positivt.
  • Användningen av mycket strikt heuristik . Antivirus har vanligtvis flera nivåer av heuristik. Ju mer tillåtande, desto mindre sannolikt är det att upptäcka ett hot som försöker smyga in i datorn, men ju striktare vi konfigurerar det, desto fler falska positiva resultat kommer vi att få.
  • Smakämnen hackverktyg brukar göra längdhopp antiviruslarm, även om tillförlitliga program som vi kör oss. Anledningen är enkel: säkerhetsprogrammet vet inte om vi kör dem, eller om de är en del av en datorattack. Och, när du är osäker, bättre att blockera.
  • Aktivatorer, nyckelgeneratorer och otillåten programvara i allmänhet. Denna typ av innehåll har ofta dolda hot. Och antingen för att den gör ändringar i systemfiler, för att den har förpackats med hjälp av verktyg som är vanliga för hackare, eller för att den faktiskt döljer skadlig kod, utlöser den nästan alltid säkerhetslarm.

Falsk positiv Steam -spelaktivator

Vilka är farorna med en falsk positiv?

Även om normalt ett falskt positivt skyddar oss mot ett eventuellt hot när antivirusprogrammet inte är säkert att det är något riktigt tillförlitligt. Men ibland kan dessa falska positiva också vara ett problem för vår dator.

Det första du bör tänka på är att om ett antivirusprogram upptäcker ett möjligt hot i en fil, vi ska inte låsa upp den om vi inte är 100% säkra att det är en pålitlig fil. Det kan hända att vi har laddat ner ett spel eller ett program från Internet, olagligt, och att vår programvara har upptäckt det som ett hot. Så mycket som de råder oss att tillåta det är det bättre att inte göra det, eftersom vi inte vet om hackaren försöker lura oss.

Utöver det kan det hända att vårt säkerhetsprogram upptäcker program som är pålitliga som möjliga hot, antingen på grund av deras intern funktion eller för att det finns en konflikt med den digitala signaturen av programmet som utlöser larm från de heuristiska systemen. . Det har redan hänt i vissa fall med program som Ccleaner, IObit eller uTorrent, som har markerats av vissa antivirusprogram som hot.

Avast falskt positivt

Även i värsta fall kan det hända att ett fel i motorn upptäcker DLL-filer eller körbar filer från program eller från Windows själv som misstänkt. Detta har redan hänt ibland, och konsekvenserna är katastrofala, och har i värsta fall till och med installerat om Windows från början. Lyckligtvis är denna typ av problem inte så vanligt.

Hur man hanterar dem

Om vårt säkerhetsprogram har blockerat en fil som vi har laddat ner från Internet, ett körbart eller ett DLL -bibliotek, är det första vi måste göra att fråga oss själva, är det verkligen tillförlitligt? Om vi ​​har laddat ner det från utvecklarens webbplats eller från deras officiella GitHub -förvar, förmodligen ja. Trots det måste vi se till att det är legitimt innan vi låser upp det.

Vi kan också använda det andra antivirusprogrammet för att få en andra åsikt om filens säkerhet. Till exempel kan vi skicka filen som ska analyseras till Virustotal för att kontrollera, med mer än 50 antivirusprogram samtidigt, om en fil verkligen är pålitlig. Om flera antivirusprogram upptäcker hotet är det att något är dolt.

Hur man undviker falska positiva

Det finns bara två sätt att undvika dessa falska varningsmeddelanden. Den första av dessa är genom att se till att vi alltid laddar ner känd och pålitlig programvara och filer. De vanligaste programmen ingår vanligtvis alltid i en vitlista av antivirusprogrammet så att larmet inte går med dem.

Och det andra sättet är att minska heuristiska analysers känslighet. I konfigurationen av några av dessa program (inte alla) kan vi hitta möjligheten att minska denna känslighet. Ju lägre känsligheten, desto mindre falskt positiva kommer vi att ha, även om vi i gengäld kan sakna möjliga okända hot. Denna inställning måste användas med stor försiktighet.