Jump to content
Seja um membro VIP! ×
×
×
  • Create New...

Lorem Ipsum is simply dummy text

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s

Test Test

Lorem Ipsum is simply dummy text

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s

Test Test

Lorem Ipsum is simply dummy text

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s

Test Test

[GUIA] VIRUSTOTAL, COMO SABER SE FOI UM FALSO POSITIVO?


Recommended Posts

Vou compartilhar algumas dicas e informações para ajudá-los a saber se uma detecção do VirusTotal é ou não um falso positivo.

Obviamente, isso não é 100% de certeza, pois há muitos hackers que deixam seus trojans ou outros malwares indetectáveis, mas pode ser um bom começo quando você estivar em dúvida em relação a um programa que deseja executar em sem computador.

 

Sempre, antes da menor dúvida que seja, instale o programa detectado como malware em uma máquina virtual ou Windows Sandbox e monitore seu comportamento.

 

Aqui vai algumas dicas para começar:

 

  1. Se você baixou do site oficial, mesmo que estejamos falando de programas hackers/crackers, é bem provável que seja um falso positivo, ninguém quer perder sua credibilidade infectando a máquina de seus clientes.
  2. O antivírus que detectou não é um dos mais conhecidos e é um dos únicos que detectou.
  3. Relacione a taxa de detecção com a idade do arquivo (você pode ver a "idade" clicando em detalhes, após o escaneamento). Se ele tiver alguns meses de idade, é mais provável que ele esteja limpo, pois malwares antigos não fica em baixas taxas de detecção por muito tempo.
  4. Verifique os valores de hash do seu download, podemos ir para o site do desenvolvedor do programa para o qual temos o instalador e olhar para o MD5, SHA-1, SHA-256 code etc, do seu instalador original. Uma vez que temos os dois códigos disponíveis, o de nosso arquivo baixado( que pode ser encontrado na aba de detalhes do VirusTotal) e o do instalador ou software do site oficial do desenvolvedor, podemos comparar ambos e ver se eles correspondem e nosso arquivo é confiável ou não.
  5. Verifique se o arquivo está assinado e se essa assinatura é válida. Você também pode ver isso na aba de detalhes do VirusTotal. Coisas como adware e programas indesejados também podem ser assinados. Mas se você confia na empresa ou organização que assinou, o arquivo provavelmente está limpo.

 

Exemplos de falso positivo:

68747470733a2f2f73382e67696679752e636f6d

 

68747470733a2f2f73382e67696679752e636f6d

 

68747470733a2f2f73382e67696679752e636f6d

 

Como sei que esta detecção é um falso positivo?

Segundo os conselhos e dicas acima posso assegurar-vos com grande probabilidade de que é um falso positivo porque:

 

  1. Eu baixei o programa no site oficial deles, eles dificilmente iam colocar em risco sua credibilidade pra conseguir ter acesso a algumas máquinas.
  2. O Antivírus que detectou é desconhecido e é o único, eu mesmo nunca ouvi falar nesse Jiangmen na vida.
  3. A data de detecção e o arquivo é novo, pois é um arquivo em fase de desenvolvimento, portanto a data não nos é útil.
  4. Eu comparei os algoritmos de hash do arquivo baixado e eles correspondem aos publicados pelo desenvolvedor em seu site.
  5. O arquivo é assinado, as assinaturas são válidas e uma das assinaturas corresponde à do desenvolvedor para o qual tenho certeza que é um arquivo legítimo.

 

 

Algumas outras dicas que podem te ajudar:

 

  1. O próprio nome do "vírus detectado" pode nos ajudar, muitas vezes vemos uma mistura de palavras como:  Algo-Generic-AlgoGen-algoPUA (Aplicativo possivelmente indesejado)Hacktool-xxxMalicious-xxxxGen_TrojanRiskTool e, em geral, não um nome de vírus específico. A razão pela qual esses nomes frequentemente ficam famosos é por causa da sua função investigativa, que essencialmente tenta adivinhar se uma parte do código dentro de um programa é um vírus, com base em alguns padrões de código conhecidos ou porque depois de algum tempo o medicamento que está incluído, juntamente com programas são detectados como um vírus pela AV para assustar/ avisar as pessoas.
  2. Não veremos o mesmo nome de vírus se repetir em vários mecanismos de antivírus simultaneamente e consistentemente. Alguns antivírus mostrarão um nome, e outros mostrarão um diferente. Se era de fato um vírus conhecido, a maioria dos antivírus deveria mostrar o mesmo nome ou a mesma sub-variação.

 

Como exemplo, olhe para a imagem abaixo e você verá exatamente o que eu descrevi acima. Nomes genéricos (hacktool, generic, malicious, etc) e cada antivírus da seu próprio nome. Você pode entender como alguns programas e resultados são falsos apenas olhando para o nome. W32.AIDetectVM... "AI" como na inteligência artificial que é simplesmente um bordão usado do marketing para impressionar.

 

68747470733a2f2f73382e67696679752e636f6d

 

Os créditos NÃO pertencem a mim, eu apenas fiz uma tradução de uma postagem que vi em outro fórum. Caso seja necessário colocarei o link para a postagem original.

Edited by guilhermesantosandradeee
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share