Asociación de Internautas

Alertvir es una especie de "avisador", tipo cliente RSS, que muestra información sobre malware, ofrecido por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Asociación de Internautas. Puedes ver el tipo de información que proporciona aquí, donde te puedes suscribir directamente evitando tener que instalarte el cliente.

14-11-2008 - Bernardo Quintero - Hispasec - La paradoja es que siendo un programa que viene de fuentes confiables, dedicado a la seguridad y, más en concreto, a dar información sobre malware, es detectado por nada más y nada menos que 26 motores antivirus:



En la web de descarga incluyen un aviso que dice: "Desde hace algún tiempo, algunos antivirus, en particular los antivirus gratuitos, estan dando falsos positivos con esta aplicación, detectándolo como si fuera un virus-troyano. Si esta aplicación la descargas de este, nuestro sitio de internet, no tienes ningún problema. El problema parece radicar en que ALERTVIR se puede comparar por su forma de actuar a un programa de Publicidad ya que realmente se conecta a un servidor externo cada cierto tiempo, en este caso el nuestro, para bajarse y mostrarte una información (la ALERTA)"


No se si se trata de la versión con la que se han intentado disculpar algunos antivirus, pero es difícil de justificar. De hecho, hoy día, la mayoría de los programas legítimos se conectan a Internet cada cierto tiempo para todo tipo de cosas, desde descargar información hasta buscar actualizaciones del propio programa. Por tanto no es justificable, por parte de los antivirus, que se detecte por ese comportamiento.


Si nos fijamos en los nombres que le dan los antivirus, veremos que hay dos tipos: aquellos que directamente le han asignado una firma específica (Win-AppCare/Alertvir.46788, PHISH/FraudTool.AlertVir.A, W32/Alertvir.A, etc.) y otros que lo detectan de una forma más genérica (PUA.Packed.UPack-2, Sus/ComPack-K, Packed/Upack, etc.). Estos últimos pueden dar la clave de porqué empezó a ser detectado y distribuido a los laboratorios antivirus: por utilizar un packer (UPack) para comprimir el ejecutable.


De hecho, si desempaquetamos el ejecutable y lo dejamos en su versión original (totalmente operativo y con la misma funcionalidad), el número de motores antivirus que lo detectan se reduce de 26 a 5. Aquí tenemos otra paradoja, precisamente lo detectan los antivirus cuya firma es más "persistente" (mejor) ante cambios provocados por packers. La única diferencia es que la utilidad pasa de tener 46KB a 528KB, pero sigue siendo muy pequeña. Partiendo de esta versión debería ser más fácil ponerse en contacto con estas 5 casas antivirus y solicitarles que corrijan el falso positivo.

Moraleja... la responsabilidad es de los antivirus, no cabe duda, que están equivocándose al detectar como malware un programa que no lo es. Pero, desde el punto de vista de un desarrollador, queda claro que el uso de determinados packers puede traer más quebraderos de cabeza que ventajas.