Era una gallina disfrazada.
El 1ero de Julio a las 12:41 AM CET ESET descubrió un falso positivo. Algunos banners publicitarios fueron incorrectamente detectados como un Troyano JavaScript JS/Tivso.14a.gen Trojan. A las 2:00 AM CET salió la actualización 2366, corrigiendo esta falsa detección. Mas tarde, investigadores de ESET descubrieron que la firma genérica que cubría al JS/Tivso.14a.gen también generaría un falso positivo y a las 7:01 PM la actualización 2368 fue liberada para eliminar todos los problemas restantes de falsas detecciones de esta amplia familia de amenazas.
¿Como sucedió esto? Hay varios troyanos en la familia del JS/Tivso. Personas malintencionadas están constantemente modificando el código para evadir la detección de los antivirus. Además de realizar cambios menores, estas personas ofuscan los scripts utilizados para escribir los troyanos. Esto significa que cifran el código para intentar hacer más difícil la detección del software malicioso. Para poder detectar las nuevas variantes antes de que sean creadas, ESET utiliza una tecnología llamada firmas genéricas. Las firmas genéricas comparan archivos, o en este caso scripts, con cosas que sabemos que son malas. Es como cuando vemos un pato, pero no sabemos qué tipo de pato es. Sabemos que es un pato de todas formas, porque se parece mucho a los otros patos que hemos visto.
Desafortunadamente, algunos auspiciantes deciden utilizar ciertas técnicas en sus banners publicitarios que son extremadamente parecidas a las técnicas que utilizan los usuarios malintencionados. Por alguna razón, los auspiciantes no quieren que sepas cuáles son los programas que ellos están corriendo en tu sistema sin tu conocimiento. Este tipo de problemas es encontrado sólo en páginas web donde alguien quiere que tu navegador ejecute un código sin tu consentimiento, o que no descubras fácilmente qué está pasando. Realmente parecía un pato, ni siquiera tenia gusto a gallina .
ESET no recibió reportes de usuarios que estuvieran insatisfechos debido a que una publicidad que quería ocultar lo que estaba haciendo no pudo ser ejecutada, de todas formas, los pop-up de advertencia sobre la amenaza eran un poco desconcertantes.
ESET está comprometida con mejorar siempre su habilidad de proveer la mejor protección proactiva contra nuevas amenazas. En el raro caso de un falso positivo, nuestros investigadores están listos para resolver rápidamente el problema, aunque sea en la medianoche de un fin de semana.
Randy Abrams
Director of Technical Education