Todos nós já estivemos lá - você recebe um alerta do seu antivírus avisando que um determinado arquivo está infectado. Às vezes, o alerta reaparece mesmo depois de você ter dito ao antivírus para remover a infecção. Ou talvez você apenas tenha motivos para acreditar que o alerta de vírus pode ser um falso positivo. Aqui estão seis coisas que você deve considerar para determinar como lidar com um alerta de vírus suspeito ou questionável.
Localização, localização, localização
Como no mercado imobiliário, a localização do que está sendo detectado pode ter um impacto crítico. Se você receber alertas repetidos da mesma infecção, isso pode ocorrer devido a um malware não-ativo que fica preso nas pastas de restauração do sistema ou em um remanescente em algum outro local que esteja acionando o alerta.
- Como remover vírus da restauração do sistema
- Excluir arquivos temporários da Internet e cookies
- Limpar a pasta Histórico da Internet
Originação: De onde vem
Assim como com a localização, a origem do arquivo pode significar tudo. As origens de alto risco incluem anexos em e-mail, arquivos baixados do BitTorrent ou outra rede de compartilhamento de arquivos e downloads inesperados resultantes de um link em e-mail ou mensagens instantâneas. Exceções seriam arquivos que passam no teste de finalidade descrito abaixo.
Propósito: Você queria, precisava, esperava?
O teste da finalidade resume-se a uma questão de intenção. Este é um arquivo que você esperava e precisava? Qualquer arquivo baixado inesperadamente deve ser considerado de alto risco e provavelmente mal-intencionado. Se não foi baixado inesperadamente, mas você não precisa do arquivo, você pode reduzir seu risco simplesmente excluindo-o. Ser seletivo sobre o que você permite executar em seu sistema é uma maneira fácil de reduzir o risco de infecção por vírus (e evitar o desempenho do sistema com aplicativos desnecessários). No entanto, se o arquivo foi baixado deliberadamente e você ainda precisa dele, ele ainda está sendo sinalizado pelo seu antivírus, depois passou no teste Purpose e é hora de uma segunda opinião.
04 de 06SOS: Second Opinion Scan
Se o arquivo passar pelas etapas Localização, Originação e Propósito, mas o verificador antivírus ainda disser que está infectado, é hora de enviá-lo para um scanner on-line para uma segunda opinião. Você pode enviar o arquivo para o Virustotal para que ele seja verificado por mais de 30 scanners de malware diferentes. Se o relatório indicar que vários desses scanners acham que o arquivo está infectado, considere a palavra. Se apenas um ou poucos scanners relatarem uma infecção no arquivo, duas coisas são possíveis: é realmente um falso positivo ou é um malware tão novo que ainda não está sendo detectado pela maioria dos scanners antivírus.
05 de 06Pesquisando pelo MD5
Um arquivo pode ser nomeado qualquer coisa, mas uma soma de verificação MD5 raramente fica. Um MD5 é um algoritmo que gera um hash criptográfico exclusivo para arquivos. Se você usou o Virustotal para a segunda varredura de opinião, na parte inferior desse relatório, você verá uma seção intitulada "Informações adicionais". Logo abaixo, está o MD5 para o arquivo que foi enviado. Você também pode obter o MD5 para qualquer arquivo usando um utilitário como o Chaos MD5 gratuito da Elgorithms. Seja qual for o meio pelo qual você escolher obter o MD5, copie e cole o MD5 do arquivo em seu mecanismo de pesquisa favorito e veja quais resultados aparecem.
06 de 06Obtenha uma análise especializada
Se você seguiu todas as etapas acima e ainda não tem informações suficientes para ajudá-lo a determinar se o alerta de vírus é genuíno ou um falso positivo, você pode enviar o arquivo (dependendo do tamanho do arquivo) para um analisador de comportamento online. Observe que os resultados fornecidos por esses analisadores de comportamento podem exigir um nível mais alto de especialização para interpretar. Mas se você chegou até aqui nas etapas, provavelmente não terá problemas para decifrar os resultados!
- PC Tools ThreatExpert
- Software Sunbelt CWSandbox
