Que no panda el cúnico… Descartando falsos positivos de ClamAV

Para los que utilicéis ClamAV en vuestra distro de escritorio o servidor no es extraño encontrar falsos positivos en algunos análisis. Ficheros que el antivirus detecta como infectados pero cuya probabilidad de infección en realidad es bastante baja si su procedencia es legítima.

Como ejemplo pondré el último análisis que realicé en mi sistema Debian en el que me encontré con una supuesta infección del fichero Spades.dll. Este fichero forma parte de un juego instalado en Steam. No era ni un mod ni contenido extra, por lo que la probabilidad de infección real es muy baja.

Spades.dll: Win.Trojan.Ramnit-5848 FOUND

Known viruses: 5108856
Engine version: 0.99.2
Scanned directories: 38823
Scanned files: 488228
Infected files: 1
Data scanned: 110293.89 MB
Data read: 405137.69 MB (ratio 0.27:1)
Time: 5594.560 sec (93 m 14 s)

Antes de correr a eliminar el fichero o ponerlo en cuarentena, si además existen motivos para pensar que ese fichero no está realmente infectado (como comentaba anteriormente, si la procedencia es legítima), contamos con herramientas que comparan el resultado de los análisis de distintos motores de antivirus. Para esta caso vamos a echar mano de VirusTotal, herramienta de la que ya hablé anteriormente.

En este caso subiendo el fichero supuestamente infectado Spades.dll podemos ver el resultado del análisis en los distintos motores de antivirus:

Podemos ver que este fichero tiene una determinada firma SHA256 que lo identifica de forma única y que de todos los motores antivirus (56 en total, la imagen aparece recortada) sólo el de ClamAV lo detecta como sospechoso. Podemos concluir por tanto que es muy probable que el fichero sea seguro.

El caso de este artículo es un mero ejemplo, ya que con ClamAV -o cualquier otro motor de antivirus- se pueden dar más casos de falsos positivos. Tenemos que ser nosotros como administradores del sistema quienes apliquemos el sentido común necesario según cada caso.

En la página web de ClamAV tienen preparado un formulario en el que reportar falsos positivos para actualizar su base de datos, ayudando de esta manera a descartar ficheros legítimos y mejorar la precisión del motor antivirus. Además también nos indican cómo crear una whitelist para descartar determinadas firmas de virus que dan falso positivo.