-->

sábado, 25 de outubro de 2008

Os falsos positivos do Avira Antivir

Por recomendação de leitores eu venho testando o Avira há alguns meses. Eu já havia dito que não podia instalá-lo para clientes porque ele não tem versão em português, mas existe um outro problema: o Avira de uma hora para outra acusa de vírus ou trojan programas que nem chegam perto de serem maliciosos.

A primeira vez foi há meses. De um dia para o outro o Avira acusou de trojan um programa feito por mim (se não me engano, foi o Getclip) e também a extensão de shell do Pspad. Assim todas as vezes que eu clicava com o botão direito em um arquivo, o Avira detectava a DLL do Pspad e me importunava com sua paranóia. Eu tinha que desligar o antivirus constantemente para poder trabalhar.

Dias depois, consertou-se sozinho.

Ontem aconteceu de novo. O Avira de repente começou a implicar com o programa que uso para gravar EPROM (Willem Eprom 0.98D5), acusando o trojan "TR/Crypt.UPKM.Gen". Eu sabia que deveria ser erro do Avira, mas como eu ainda estou me recuperando de uma infecção real, lá fui eu checar com o arquivo original do programa em CD, e confirmei que está OK.

E o mais chato é que como o executável tem um link no menu Programas, cada vez que eu clico no Menu Iniciar o Avira percebe sua existência, trava o menu e exibe até 7 vezes (eu contei) a janela de aviso. Não adianta marcar "ignore" ou simplesmente "Deny Acess", que o Avira "ignora" o que você disse e continua perguntando o que fazer com o suposto "trojan". Enche tanto o saco que tenho que desligar o antivirus.

Como experiência, fui rodar o mesmo programa em outro PC que estava há dez dias desconectado da rede (Avira não estava atualizando) e o antivirus não implicou com ele. Mandei atualizar e pronto: o Avira não me deixa mais rodar o programa.

Para completar o problema, o Avira me dá zero informações sobre a natureza do tal "TR/Crypt.UPKM.Gen". Poderiam chamar de "TR/Nao.FAZEMOS.Ideia" que daria na mesma. Assim eu nem tenho como entender de onde veio a falsa interpretação de que se trata de malware e, mais importante, a que nível de risco eu me submeto se ignorar o Avira. É algo que formata o HDD ou que apenas transforma sua máquina num gerador de SPAM?

Eu suponho que "TR/Crypt" signifique que se trata de um trojan criptografado (sim, Willem emprega criptografia no programa, provavelmente para evitar que alguém copie suas rotinas de gravação. Não há nada de malicioso nisso) e que ".Gen" signifique "Generator", que eu também suponho identificar programas ou técnicas usadas para criar trojans e não o trojan em si.

É no mínimo bizarro ver seu antivirus acusar de trojan um programa que você mesmo fez, sem nem explicar o motivo. E é difícil dizer se ficar sendo assustado à toa vale à pena em troca de uma possível segurança extra. Mas eu certamente não posso recomendar algo assim para clientes.

[26/10/08] Para poder trabalhar sem desligar o antivirus, adicionei o Willem como uma "exceção" em Configure Antivir->Guard->Scan->Exception ("Expert Mode" precisa estar selecionado).

37 comentários:

  1. ô seu animal, Gen vem de Generic, ou seja, Genérico. Sua besta

    ResponderExcluir
  2. Anônimo:

    Razão:10
    Educação:0

    Média 5. Dependendo do critério, você passou.

    ResponderExcluir
  3. Jefferson

    Eu sempre usei kaspersky, nunca tive problemas com ele. Recomendo ele pra todos que perguntam sobre antivirus...

    ResponderExcluir
  4. Falta de explicação sobre virus é a coisa mais comum, principalmente sobre os "genéricos". Que tenho a impressão que são um grande guarda chuva para pegar qualquer coisa que se pareça com um virus (portanto você não estaria errado em dizer que eles não fazem idéia do que o seu exemplar específico faz).

    De uma forma geral falsos positivos são raros, mas acontecem. Lembro que algum anti-virus que eu usava cismou com o runtime de algum compilador relativamente popular, qualquer coisa compilado com ele era automaticamente considerado virus.

    ResponderExcluir
  5. Eu detesto colocar um post somente no estilo "eu tambem" , mas ... não aguentei. É que estou testando o Antivir e estou ficando irritado com a toneladade de falsos positivos. Fica até dificil saber se leva-se a sério o alerta ou não. Tô por um fio de desinstalar o bicho...

    ResponderExcluir
  6. O Avast (que eu já usei muito) também dá falsos positivos de vez em quando. A questão é que os analistas da Awill são ultra rápidos para corrijí-los (diferente, dependendo da época, da detecção de novos vírus). Já fui amolado pelo Avira na versão 7.xx, mas ele costumava seguir meu aviso de ignorar. Talvez diminuir seu nível de heurística resolva, não sei.

    ResponderExcluir
  7. Anônimo,

    Eu não tentara configurar a heurística porque, pelo que eu entendi (posso estar errado) toda detecção baseada em heurística do Avira tem o prefixo HEUR. Não é o caso deste falso positivo.

    Eu tentei fazer o teste agora, desligando a heurística e retirando o programa da lista de exceções. Não detectou o suposto trojan. Desconfiado, religuei a heurística e testei de novo. Novamente não detectou.

    Aparentemente o Avira corrigiu o erro no update que ocorreu hoje. Desta vez até que foi rápido.

    ResponderExcluir
  8. Estou recomendando o Avira a todos que conheço, pelo fato do mesmo reconhecer com mais facilidade os "vírus de pen-drive", já que estamos em uma época difícil...

    Acabei de instalar um avira para um amigo, e também deu um falso positivo. Mas pegando a dica de colocar na lista de exceções, não tem problema.

    Como dito por um dos nossos amigos acima, antigamente o mal do Avira era justamente o excesos de falsos-positivos que tinham. Hoje já está bem menor, e digo que é um dos melhores anti-virus gratuitos que existem.

    ResponderExcluir
  9. Eu tambem uso o avira depois que o AVG defecou, sentou em cima e espalhou tudo. A dica que eu dou é tome cuidado como configura o nível de detecção da heurística, quando você o instala, ele te da 3 níveis, o nível médio não costuma dar falso positivo com tanta facilidade, já o nível alto, socorro! Ele invoca com qualquer coisa que possa no mínimo se assemelhar a vírus ou atitude suspeita. No mais é um bom anti-vírus.

    ResponderExcluir
  10. Cara, o Avira não é ruim, se comparar com outros no mercado. Esses dias, eu atendi um cliente que reclamou de "micro lento". Ele tinha 3 expllorer.exe rodando, e mais uns assemelhados.

    O Avira, numa escaneada simples, deletando tudo, resoulveu sem a necessidade de usar msconfig ou coisa parecida.

    Ah, o antivirus anterior do cara era o AVG.

    ResponderExcluir
  11. olha eu tambem to um problema parecido,o avira de repente começou a invoca com um emulador de rom o NEORAGE BR,eu já tenho o avira á 4 meses nunca detectou nada nada eu fiquei sem atualizar ele uma semana,e de repente quando atualizei ele fui a pasta para jogar, Sua mesma supeita de virus nem parecido,nem igual,INDENTICO
    eu fiz =vc fui ver informação sobre o tal trojan: TR/Crypt.UPKM.Gen e nada,bom a heuristica do avira ta ligada no maximo será que é o mesmo caso?

    ResponderExcluir
  12. Carlos,

    Eu não creio que faça diferença mudar o nível de heurística. Se você tem certeza de que o arquivo é "sadio", simplesmente crie uma exceção para ele. Assim o Avira para de encher o saco.

    ResponderExcluir
  13. É verdade mesmo!O AV da Avira é chato pra caramba com seus falsos positivos...Eu testei ele uns anos atrás e desisti por isso! Semana passada tentei a sorte de novo pois já tinha mudado de versão...E tudo de novo, foi acusado "trojan" no emulador neoragex.Tenho o Kaspersky original e ele não acusa nada perante o emulador! Por que será?

    ResponderExcluir
  14. Anônimo6/2/09 11:32

    Uso o Avira no trampo - KIS em casa - e o Avira estava detectando um arquivo legítimo como TR/Spy.Banker.Gen Trojan, daí coloquei ele na lista de Exceções, mas enviei o programa para o AviraLab, uma semana depois - acho que 5 dias depois - me retornaram dizendo que eu tinha razão, o arquivo ela legítimo e que eles retiram ele da lista de detecções.

    Ponto positivo para a Avira, o serviço deles funciona mesmo, o programa não é mais detectado como vírus. :D

    ResponderExcluir
  15. 1° criar uma exceção para o arquivo "supostamente" infectado não o deixa vulnerável para infecções reais?,2° sempre coloquei os arquivos infectados na quarentena, antes do avira detectar as ameaças o pc funcionava normalmente,e depois tambem!!!,detalhe os arquivos eram do sistema,e como o sistema funcionava normalmente sem ele?,3° é possivel a pasta "c:\windows\system32\ ,ser infectada?(arquivo infectado com tr/crypt.xpack.gen)unupx.tmp,4°(e ultima),sempre nas minhas infecções o virus já consta a tempos no banco de dados(é o caso do tr/crypt/a mesma coisa),no ultimo scaner encontrei 3 deles,a pergunta é sera que um virus esta descarregando outros para minha maquina?ah!ja testou a versão 9 falaram que ta 10

    ResponderExcluir
  16. Eu também estou tendo problemas com o Avira, mas, diferente do AVG, ele não deleta o arquivo, simplesmente impede o acesso, sem contar que quando encontra um vírus real ele realmente faz a operação que vocÊ seleciona. No AVG, além de deletar o arquivo, as vezes eu colocava para ignorar e o mesmo não fazia.

    ResponderExcluir
  17. Hoje (29-08-09) quando fui acessar o Banco do Brasil aqui o Avira me veio com essa: C:\Arquivos de programas\GbPlugin\gbpdist.dll (TR/Spy.Banker.ABXA [trojan]) e C:\WINDOWS\system32\SnAgOS.DLL (TR/Spy.Gen [trojan]). Além do Banco do Brasil, uso o Banrisul e a Caixa Econômica neste micro. Eu adicionei os arquivos nas exceções, pois esta máquina só serve para isso (acessar bancos e digitar textos no Word), a conta de usuário é limitada, o autorun está completamente desabilitado. Não foi aberto nenhum executável, nada. O Windows XP está atualizado.

    Resumo: só pode ser cagada do Avira.

    ResponderExcluir
  18. Aqui também deu problema no site do BB quando o Avira atualizou hoje.

    ResponderExcluir
  19. No meu micro também aconteceu esta mesma falsa detecção do TR/Spy.Banker.ABXA ao acessar o Banco do Brasil. Vou adicionar a exceção conforme comentários anteriores.

    ResponderExcluir
  20. O meu anti-virus também está detectando o mesmo trojan recentemente...

    ResponderExcluir
  21. o meu também

    ResponderExcluir
  22. Cibele Souto Maior30/8/09 23:27

    o avira também detectou o TR/Spy.Banker.ABXA no meu notebook enquanto eu tentava acessar o BB no dia 28/08. Cliquei em ignorar, enviar p a quarentena e nada, a msg voltava. Então, já imaginando ser falso positivo pois já havia tido problemas com o Avira e o BB antes (e, na época, a própria atualização do antivirus resolveu o problema após uns meses) eu desativei o antivirus (deixei só o AVG - tenho os 2 instalados) e entrei no internet banking. Hoje tentei acessar o BB, mas nem a pg inicial consigo abrir. Creio q o Avira tenha bloqueado o acesso. Vou add uma exceção tb.

    ResponderExcluir
  23. pois é, tô no mesmo barco que os últimos que reclamaram do Spy.Banker.ABXA.

    Ele acusa o vírus no plugin do banco, no caso o arquivo gbieh.dll.

    A minha dúvida está em ter certeza que o plugin foi realmente infectado, ou seja, se não aproveitaram alguma brecha dele.

    ResponderExcluir
  24. Ah se eu tivesse visto este post antes... teria deixado de me estressar muito.
    Acesso o BB direto e hoje me veio essa porcaria de TR/Spy.Banker.ABXA também. O Avira aqui tá surtado!

    ResponderExcluir
  25. gent o problema tbm estaha acontecendu aki, o meu medu eh saber se isso eh realmente um virus ou um falso positivo, conheço otra pessoa q tbm pego essi msm "virus" e disse q conseguiu tira...bem tbm voh faze o q todos estaum fazendu...

    ResponderExcluir
  26. Uso avira no pc em casa e nos pcs da empresa, ta pirado geral, estava aqui me estressando, até ferramenta de remoção da pasta gbplugin ja baixei, mas devido a este post irei aguardar um tempo até ser confirmado se realmente é um falso positivo ou infecção.
    PS.: uso karpesky no notebook e esta tudo tranquilo :/

    ResponderExcluir
  27. Anônimo1/9/09 11:07

    mesmo problema com gbpdist.dll, acusando como TR/Sky.Banker.ABXA Trojan.
    Alguém já mandou pro AviraLab?

    ResponderExcluir
  28. Anônimo1/9/09 17:54

    Estou testando o microsoft security essencials e ele não detectou nada, o gpbplugin parece normal, igual ao do micro do trabalho, então deve ser alarme falso do avira, só que não estou conseguindo desboquear o acesso nem colocando o arquivo nas exceções...

    ResponderExcluir
  29. Começaram novamente os falsos positivos hoje....

    Estou recebendo este mesmo aviso de um Banker:
    http://www.linhadefensiva.org/forum/index.php?showtopic=107249
    http://www.guiadohardware.net/comunidade/banker-tr/1025424/
    Desinstalado para deixar de ser besta!

    ResponderExcluir
  30. Desligue a heuristica do avira, que ele vai parar de tentar adivinhar se um programa é virus, só que pra cada se cadastra bem menos virus do que são criados, e a heuristica é o recurso a unica defesa hoje p/ esse problema.

    ResponderExcluir
  31. Putz o meu tah acusando o ADOBE Reader, o J Downloader e um monte de arquivo dll

    Como eu faço pra parar?
    (o anti-virus tah ateh desativado aki pq fica travando o PC)

    ResponderExcluir
  32. Nesse caso é bem possível que você esteja MESMO infectado. Procure ajuda em um fórum.

    ResponderExcluir
  33. O Avira é o melhor matador de virus do mercado mas tem esse problema paranóico de implicar com procesos legítimos. Principalmente com Bankers e programas como Delphi e visual studio. Fazer o que? To usando uma maquina virtual pra programar e acessar os bancos.

    ResponderExcluir
  34. de paranóico basta eu, tchau avira. miguel.

    ResponderExcluir
  35. EU USAVA O AVG NUNCA TIVE PROBLEMAS COM ELE MAS NUNCA CONFIEI 100%, comprei o Kaspersky travou meus programas, devolvi, comprei o Avira, mesma coisa trava tudo, chegou até a corromper alguns arquivos durante os travamentos, o suporte do Avira excelente mas quer que eu vá testando o anti-virus até descobrir porque trava mas estou com medo e depois meus arquivos.

    ResponderExcluir
  36. Anônimo3/9/12 14:18

    AVIRA é um LIXO !!! Rei do falso positivo.
    Ele detecta o que não é vírus como vírus e os
    verdadeiros vírus estão a anos luz do avira.

    Fuja dele não é uma ferramenta confiável .
    É a mesma coisa de se ter um medidor de pressão que a cada medida te da um
    valor...??? qual confiar .???

    Melhor pegar o Kaspersky 1000 x melhor

    Obs : Também, sou desenvolvedor , já fiz vários programas do bem que o avira detecta como vírus , sem nem chegar perto de ser.

    ResponderExcluir
  37. Concordo,o Avira disse uma vez que um arquivo tinha vírus,mas não tinha,meu pai usa o mesmo pc,ele não entende que é falso positivo e quase me matou.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.