Cu adevărat virusat?


Un articol recent de pe Lifehacker pune o întrebare foarte bună: How Do You Know If Your Download Really Has a Virus? Mi-am amintit de o experienţă recentă cu AutoIt. Poate unii îşi amintesc că, tot scriind materiale demonstrative, am alcătuit şi un program util unui anumit public. Înainte de a-l lansa l-am dat însă unor prieteni. Mai mulţi dintre ei aveau Avira şi mi-au raportat că nu îl pot lansa: antivirusul îl ştergea imediat. Având încredere în mine au închis antivirusul şi rulat programul meu. Mi-am dat seama că nu îl pot lansa, face public, cu astfel de probleme. Am încercat atunci o după-masă întreagă să îmi dau seama de unde veneau alarmele false.

imagine imagine

Am reprodus mai sus testul cu programul. Dacă nu se vede spun eu mai clar: în stânga şi în dreapta sunt analizele de pe VirusTotal (vezi articolul Cu virus sau fără virus?). O variantă e cu 2 alarme din 41, a doua cu 7 din 41. E şi o diferenţă calitativă. Alarmele din stânga sunt de risc (Panda spune “Suspicious file”), pe când în dreapta multe cu “certitudinea” de virus (BitDefender spune “Trojan.Heur.AutoIT.ImNfb00lZjbi”). Diferenţa? Ei bine, este exact acelaşi program cu o singură linie diferenţă: #AutoIt3Wrapper_Res_Language=…

Mă gândisem la compilare să setez pe limba română, ceea ce mi-a declanşat problemele. Când mi-am dat seama că de acolo vin eram gata să scriu nervos: “dacă pui la compilare că e program românesc e rapid catalogat ca virus”. Noroc că nu am scris sub nervi, pentru că teste ulterioare mi-au arătat că nici nu contează ce limbă ar fi setată! Şi pe English (United States) să fie, pentru programul meu era acelaşi lucru. Atenţie: am făcut teste şi pe alte coduri mai simple – directiva mai sus amintită nu a generat decât uneori probleme. Concluzia: dacă lucraţi cu AutoIt 1) evitaţi directiva de limbă la compilare; 2) verificaţi-vă cu mai mulţi antiviruşi programul, pentru a vedea câte alarme false sunt şi să căutaţi să le eliminaţi.

imagine

Şi acum revenim la articolul de pe Lifehacker: cum să ştii dacă un fişier descărcat e cu adevărat virusat sau e doar o alarmă falsă (false positive)? Îmi place subsolul de la situl VirusTotal. L-am pus ca şi captură mai jos. Dvs citiţi acolo că “nu există nici o soluţie care să ofere o rată de detecţie de 100% pentru viruşi şi alte ameninţări informatice”. Perfect adevărat şi de reţinut. Sunt două consecinţe, orice antivirus aţi folosi: puteţi avea un program care să fie infectat dar să nu fie detectată “infecţia”; sau, invers, să fie curat, dar să fie raportat ca virus. Relativism 100% :) .

imagine

Şi atunci ce e de făcut? Răspunsul după mentalitatea vremii ar fi trust nobody (decât antiviruşii? care dintre ei?). Cel mai bine e ca la cea mai mică suspiciune să renunţi la respectivul program sau fişier, mai ales – sau întotdeauna – când e descărcat din surse dubioase. Pe de altă parte aşa poţi să te privezi de programe importante. În rezumat Lifehacker spune aşa (adaptez, ca să subscriu):

  1. încarcăţi pe VirusTotal pentru a vedea statistic (dacă mulţi antiviruşi, şi mai ales antiviruşi cunoscuţi, spun că e virusat, atunci aproape sigur că e virusat)
  2. fiţi conştienţi că există alarme false (false positive), mai ales pentru programe ce operează pe regiştrii, ce urmăresc apăsarea tastelor sau alte lucruri ce fac şi viruşii (din păcate producţiile generate cu AutoHotkey şi AutoIt sunt de regulă suspectate)
  3. întrebaţi-l pe autorul programului (sau dacă îl ştiţi atunci nu mai e nevoie – presupunem că vă e prieten); poate vă arată sursa şi vă convingeţi că e curată
  4. iar în cele din urmă… use your judgement

Sau cum scrie un comentator la articolul LifeHacker:

Rule 1: USE COMMON SENSE
Rule 2: USE COMMON SENSE
Rule 3: See rule 1
Rule 4: See rule 3

:)


Apreciază articolul:

1 stea2 stea3 stea4 stea5 stea (4 evaluări, media: 5,00 din 5)
Loading...Loading...

1 comentariu

  1. Disable spune:

    Asa patesc la ver.10 Nero Portable. Avira zice ca e un troian, Microsoft Security nu zice nimic. Naspa


Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *