Capita abbastanza spesso che il nostro antivirus, sia gratuito che commerciale, ci possa avvertire segnalandoci un improvviso pericolo da parte di un file o programma che ritenevamo innocente. Un falso positivo o no?
Probabilmente è capitato a molti di noi: il nostro antivirus improvvisamente si allarma mentre stiamo scaricando un file innocente e ci avverte che in esso è contenuto un virus o un malware. La cosa ci lascia perplessi quando accade e non riusciamo a capire se è un falso positivo o dobbiamo comunque preoccuparci cancellando il file dal nostro Pc.
Come distinguere un virus da un falso positivo?
La risposta non è semplice, come nel caso di Cacaoweb ad esempio, ci sono voluti mesi di analisi prima che anti-malware e antivirus cominciassero a cancellare dai propri database questo programma che era stato taggato come pericoloso.
Un antivirus che mediamente segnala troppi falsi positivi non va bene, ma, soprattutto, non è detto che sia ottimo se non ne segnala quasi mai. E' il caso di Microsoft Security Essential, un antivirus gratuito che non incappa quasi mai in falsi positivi, ma la stessa Microsoft ha recentemente dichiarato che il proprio antivirus non è molto affidabile e quindi il problema è che talvolta non avvisa anche su virus veri.
Alcuni analisti della sicurezza informatica hanno stilato una lista secondo cui i software commerciali Kaspersky, Eset e F-Secure sono quelli più affidabili limitando al massimo la segnalazione di falsi positivi, tra gli antivirus gratuiti è l'ultima release di Avast antivirus gratis in italiano ad avere la palma del vincitore.
Il problema dei falsi positivi è che spesso non sono catalogati negli aggiornamenti di database di un virus, ma viene identificato tramite procedure algoritmiche, proprio per cercare di “stoppare” virus ancora non conosciuti. Non avendo certezze, ma solo un sospetto casistico, derivante da alcuni variabili, l'antivirus si allarma segnalando un file come sospetto di veicolare una infezione.
Come fare una verifica su un file sospetto?
Nel caso il vostro antivirus si allarmi e voi avete il sospetto che sia un falso positivo potrete cercare di verificare con altri prodotti esterni come scaricare Kaspersky Virus Scan che effettuerà una ricerca gratuita sul vostro Pc e, sempre per prodotti commerciali, che offrono assistenza online gratuita, potrete provare anche ESET Online Scanner.Ad ogni modo, la verifica che taglia la testa al toro è quella di scansionare un file con VirusTotal. Verificando infatti con questo sistema che include il controllo contemporaneo di 40 diversi antivirus online, potrete stare abbastanza certi che si tratta di un falso positivo se quasi tutti gli antivirus daranno l'Ok.
Ovviamente conta anche molto la fonte da cui si è scaricato il file. Generalmente da portali o case software molto conosciute è davvero improbabile scaricare virus perchè vengono controllati alla fonte. Nel caso invece di portali sconosciuti, segnalazioni arrivate per email o Facebook, scambi torrent o con eMule, occorre andare molto più cauti e fare più verifiche con i servizi sopra citati.