VirusTotal falso positivo - como saber?
Vou compartilhar algumas dicas para ajudá-lo a saber se uma detecção do VirusTotal pode ou não ser um falso positivo.
Obviamente, isso não é 100% certo, pois muitos criadores de vírus deixam seus cavalos de Tróia ou outro malware indetectável, mas pode ser um bom começo em caso de dúvida.
Sempre antes da menor dúvida, instale o programa detectado como malware em uma VM ou Windows Sandbox e monitore seu comportamento.
Aqui estão as dicas:
1) Você conseguiu no site oficial, não é impossível, mas dificilmente será ruim
2) O antivírus que detecta não é um dos mais conhecidos e é o único
3)Combine a taxa de detecção baixa com a idade do arquivo (Hora do primeiro envio na guia Detalhes do VirusTotal): Se tiver alguns meses, provavelmente está limpo. O malware antigo não permanece com taxas de detecção baixas por muito tempo.
4) Verifique os valores de hash de nosso download, podemos ir ao site do desenvolvedor do programa para o qual temos o instalador e procurar o código MD5, SHA-1, SHA-256, etc. de seu instalador original. Assim que tivermos os dois códigos disponíveis, o do nosso arquivo baixado e o do instalador ou software do site oficial do desenvolvedor, podemos comparar os dois e ver se eles correspondem e se nosso arquivo é confiável ou não.
5)Verifique se o arquivo está assinado e se esse sinal é válido. Você também verá isso na guia Detalhes do VirusTotal. Coisas como adware e programas indesejados também podem ser assinados. Mas se você confiar na empresa ou organização que o assinou, o arquivo provavelmente está limpo.
Exemplo de falso positivo:
Como posso saber se esta detecção é um falso positivo?
Eu segui o conselho compartilhado acima e posso assegurar-lhe com alta probabilidade de certeza que é um falso positivo porque:
1) Sou um testador beta para esta empresa e baixei o arquivo de um site de desenvolvedor seguro.
2) AV que detecta um adware é um antivírus desconhecido e é o único, alguém conhece o Jiangmin? A verdade é que a primeira vez que vejo esse AV.
3) A data de detecção e o arquivo são novos por se tratar de um arquivo que está em desenvolvimento, neste caso a data não é útil.
4) Comparei os algoritmos de hash do arquivo baixado e eles correspondem aos publicados pelo desenvolvedor em seu site.
5)O arquivo está assinado, as assinaturas são válidas e uma das assinaturas corresponde à do desenvolvedor para a qual tenho certeza que é um arquivo legítimo
Tags:
Dicas