Archivos dañados que dan Falsos Positivos

Es normal que nuestro Laboratorio reciba archivos dañados y que se nos reporte que nuestro antivirus no detecta el mismo o que informa que el archivo se encuentra, justamente, dañado. Como ejemplo se nos envía un listado como el siguiente, de un archivo reportado a VirusTotal unos días atrás:

Archivo dañado

Si bien este reporte indica que 11 antivirus detectan el archivo como dañino, como podemos ver a continuación, si se intenta ejecutar el archivo, el sistema operativo informa que el mismo está dañado y por ende no se ejecutará, por lo cual es imposible que ocasione daño:

Archivo dañado

Es decir que la detección de los antivirus es en realidad incorrecta y esto es lo que se conoce como Falso Positivo. En consecuencia, este archivo no debería ser detectado por los antivirus y se debería ignorar el mismo, tal y como lo hace e informa correctamente ESET NOD32.

Entre otras cosas, la ausencia de Falsos Positivos es lo que permite a ESET tener la gran cantidad de certificaciones y premios actuales.

Aprovecho este espacio también para aclarar que VirusTotal no es una herramienta apropiada para comparar antivirus ni tampoco una herramienta de marketing, pero este tema lo trataré en breve.

Cristian

Autor , ESET

  • Esta era la respuesta que estaba buscando. Muchos de nuestros clientes reportan este mismo problema muy seguido, y hasta ahora no teniamos una respuesta valida que darles.

    Si vuelvne a pregunrar, sencillamente se les dice que “El archivo al que intenta acceder ESET se encuentra dañado por lo que no es posible su analisis, el archivo no presenta riesgo ya que por su estado no es posible que se ejecute en el sistema”.

    Gracias por la ayuda.

  • Gracias por la aclaración, dado que personalmente he estado recibiendo gran cantidad de estos archivos en las últimas semanas, muchos de estos archivos se descargan en equipos afectados con el gusano Win32/AutoRun.WG y sus variantes.

    Voy a tener en cuenta sus aclaraciones, al momento de analizarlos en virustotal.com.

  • Pingback: Archivos dañados que dan Falsos Positivos()

  • Carlos

    Muchas Gracias por la aclaración, porque de hecho analicé un archivo que pesaba 0 Kb, en virustotal, y sólo un antivirus tenia en su firma esa archivo, envié la muestra a ESET y no me ha respondido.

    mi pregunta es ¿Un virus puede ocupar 0 kb?
    hasta lo vi con el winrar y decia 0 kb

    Está excelente esta aclaración.

    • Hola Carlos,

      Un archivo sin contenido no puede realizar tareas maliciosas, se trata de un error en la detección, de un falso positivo.

      Sebastián

Síguenos