Os antivírus são programas que monitoram todas as possíveis vias de contaminação por arquivos maliciosos do computador, como entradas físicas, sites da Internet e downloads, escaneando-os constantemente. Quando encontram algum item suspeito, alertam o usuário para colocá-lo em quarentena. Ou seja, isolá-lo do sistema para análise, a fim de evitar contaminação. No entanto, nem sempre acertam e, por vezes, indicam arquivos inofensivos como potencialmente perigosos, gerando o conhecido "falso positivo".
Falsos positivos parecem inofensivos, mas podem desencadear em perda de dados e inviabilizar o sistema (Foto: Pond5)
De acordo com a organização independente que realiza testes sistematicamente em programas antivírus, a AV Comparatives, “nenhum produto é imune a falsos positivos, mas alguns são mais do que outros”. Em experimento realizado em setembro de 2017, apenas um entre 21 softwares analisados não cometeu o erro. Ainda segundo o site da companhia, o grande problema da detecção falha é o fato de poder desencadear na perda de dados ou mesmo inviabilizar o sistema.
Normalmente, os mais afetados nesses casos são os programas de desenvolvedores menos conhecidos. Os grandes, entretanto, não estão imunes. Anos atrás, a McAfee mandou para quarentena um importante programa do Windows XP e, mais recentemente, o Panda detectou a si mesmo como malware.
Por que o falso positivo acontece
Os antivírus atuam de duas formas: através da detecção baseada em assinaturas e heurística. Os vírus contêm assinaturas, ou seja, uma sequência contínua de bytes com
... um em uma certa amostra de malware. Caso o software de segurança detecte um item com uma série com aquelas disponíveis em seu vasto banco de dados, é muito provável que se trate de um vírus ou de um arquivo infectado.
Já a heurística funciona através do escaneamento de partes menores do código e gera um alerta, caso o comportamento de um arquivo seja considerado similar a de algum malware já conhecido ou que fuja do esperado. Com a justificativa ampliar a segurança, alguns fabricantes incluíram em suas regras heurísticas sites com pouco tráfego e, com isso, programas de desenvolvedores menos conhecidos acabam, repetidamente, confundidos com aplicações maliciosas. O método é considerado um dos principais responsáveis pelos casos de falsos positivos.
Além disso, como maneira de tornar mais difícil a análise dos malwares, os criminosos virtuais utilizam sistemas de proteção para confundir antivírus. A fim de evitar brechas, os antivírus muitas vezes definem como ameaças programas legítimos protegidos, gerando mais casos de notificações incorretas na máquina.
Nesses casos, o que fazer?
No caso de falsos positivos, o usuário deve enviar uma amostra do arquivo detectado para a equipe de pesquisa do desenvolvedor de sua aplicação antimalware e solicitar a solução do problema. Nos sites de boa parte das fabricantes também é possível encontrar formulários para relatos de falhas.
Os próprios fabricantes de programas antivírus recomendam o uso do sistema Virus Total (Foto: Reprodução/ Virus Total)
Além disso, na suspeita de um caso de falso positivo, os próprios desenvolvedores, como a Avast, indicam a utilização do serviço Virus Total, no qual é possível submeter um arquivo, uma URL ou um endereço de IP para análise. O site realiza o escaneamento em 40 ferramentas de antivírus, simultaneamente, e entrega o resultado ao usuário. Outra opção é o download da Virus Total Uploader, que garante a conferência de qualquer item desejado diretamente através do menu de contexto do seu computador (acessado ao clicar com o botão direito do mouse).
