jueves, 29 de junio de 2000

Falsas alarmas en antivirus para servidores de correo

De un tiempo a esta parte venimos observando en Hispasec como se
producen continuas falsas alarmas en los productos antivirus
destinados a filtrar el correo en los servidores. Algunos de nuestros
suscriptores sufren los problemas de este mal comportamiento al
recibir las noticias "una-al-dia".
Uno de los últimos casos lo ha protagonizado la noticia "IE5 y Office
2000 permiten ejecutar comandos de forma remota", con fecha
27/06/2000, donde múltiples productos han detectado un 'Virus Script'
inexistente. Al parecer, los módulos heurísticos de los antivirus han
interpretado los ejemplos de código que incluíamos como si de un virus
se tratara. Sobra decir que el código que se incluye, en formato
texto, no realiza acción dañina alguna.

Si bien en este caso se puede atribuir el fallo a un exceso de celo de
algunos productos, al menos hay porciones de código en la noticia con
los que confundirse, en otras ocasiones las falsas alarmas no tienen
más excusa que una pobre metodología para detectar los virus. Como
ejemplo, hemos sufrido casos de falsas alarmas por incluir, en el
cuerpo de la noticia, el asunto del correo electrónico con el que se
distribuye un gusano, o por mencionar el nombre del fichero adjunto
infectado.

Agradecemos a todos los suscriptores las consultas y comentarios
sobre esta problemática, que también soportamos día a día en Hispasec
al recibir las falsas alarmas que, desde los servidores de correo,
los antivirus nos hacen llegar. Aprovechamos también la ocasión
para recomendar a las casas antivirus una revisión de sus productos.

Recordamos a los afectados por las falsas alarmas que pueden acceder
a la noticia "IE5 y Office 2000 permiten ejecutar comandos de forma
remota" a través de la web de Hispasec:

http://www.hispasec.com/unaaldia.asp?id=609




Bernardo Quintero
bernardo@hispasec.com