Cand Alarmele False nu sunt atat de False!

O alarma falsa reprezinta o detectie eronata a unui program antivirus. Cu alte cuvinte, acesta va identifica un fisier perfect legitim ca fiind infectat.
Nu va grabiti sa mai aruncati cu pietre in programul vostru antivirus, pentru ca exista si Alarme False care nu sunt False! Cum vine asta? Voi incerca sa va explic mai jos.

Acum cateva zile va semnalam o detectie eronata pe NoVirusThanks Anti-Rootkit si voi da mai jos cateva explicatii despre aceasta.

Ei bine, este adevarat ca detectarea aplicatiei nu este un lucru de dorit, insa principala responsabilitate pentru problema aparuta revine producatorului respectivei aplicatii.


“Baietii rai” folosesc doua metode pentru a evita detectarea virusilor creati de ei: packere si protectoare. Un packer (UPX, Petite, etc) este folosit pentru a reduce dimensiunea unui program (salvand spatiul pe disc), in timp ce protectoarele (Armadillo, Themida, etc) sunt folosite pentru a preveni hacking-ul, peticirea sau “spargerea” codului aplicatiei.

Protectoarele sunt folosite atat de aplicatii legitime, cat si de virusi, iar cand un program Antivirus va vedea un protector de tip Themida, spre exemplu, va trebui sa decida ce ascunde in interior: un joc sau un virus ?
Despachetarea fisierului ar dura mult si ar consuma resurse inutile, de aceea exista o conventie ca fisierele legitime impachetate cu un protector, sa aiba semnatura digitala.

Pentru ca toti producatorii (sau asa ar trebui) folosesc o semnatura digitala asociata fisierului impachetat, programele antivirus vor alerta la fiecare protector sau packer intalnit, deoarece folosirea lor fara o semnatura va fi intalnita doar in cazul virusilor.

De aici si afirmatia mea initiala: “Unele Alarme False nu sunt atat de False”. Producatorii ar trebui sa fie mai atenti in crearea si distribuirea fisierelor si kiturilor de instalare.

Multumesc Daniel Novomeský, ESET pentru atentionare

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

2 responses to “Cand Alarmele False nu sunt atat de False!”

  1. Tweets that mention Cand Alarmele False nu sunt atat de False! -- Topsy.com

    […] This post was mentioned on Twitter by Radu, YO9FAH. YO9FAH said: Cand Alarmele False nu sunt atat de False!: http://bit.ly/e1RF0G […]

  2. happyday

    aham…deci…liber la fp-uri cu alte cuvinte, ca fac parte din peisaj. inca putin si ne vom convinge cu totii ca sunt chiar necesare :D. doar e vina producatorilor de softuri, nu a celor de solutii de securitate. pe un win curat, fara altceva instalat (eventual numai driverele dar si alea cu grija, sa nu produca emotii) niciun antivirus n-ar semnala existenta unor ozn-uri in sisteme. asta daca avem noroc si nu se intampla fo minune de eroare de programare ca atuncea sistemul de operare devine cel mai fioros malware. asa ca mai bine nu-l instalam nici pe asta, facem un efort si bagam numai av-ul. atunci sa vezi protectie ! bineinteles, conditia e ca antivirusul sa nu-si recunoasca propriile fisiere drept nelegitime…ca atuncea se complica treaba… 😆

    ps: facem pariu ca micutul comentariu intra la spam? 😀

Leave a Reply