www.MegaLab.it

[nix87]

Solo pochi giorni fa ho fatto delle scansioni complete del sistema con Panda Cloud e Malwarebytes: nessuno di questi due mi ha riportato qualcosa.

Oggi ho provato (giusto per testarlo) a fare una scansione del sistema con Kaspersky Rescue Disk.
Con sorpresa ritrovo questi file che mi segnala infetti:

Codice: Seleziona tutto

Stato: Rilevato   (eventi: 8)   
23/01/12 17.08   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Program Files (x86)/Intel/Bluetooth/mbtfca.dll   Alto   
23/01/12 17.08   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Program Files (x86)/Intel/Bluetooth/mediasrv.exe   Alto   
23/01/12 18.16   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/22984.msi   Alto   
23/01/12 18.16   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/22984.msi//media1.cab//mbtfca.dll   Alto   
23/01/12 18.16   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/22984.msi//media1.cab//mediasrv.exe   Alto   
23/01/12 18.18   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/_{7CE8BE79-ABC3-4B2C-9543-28ED2B0A9EA8}/Intel Bluetooth.msi   Alto   
23/01/12 18.18   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/_{7CE8BE79-ABC3-4B2C-9543-28ED2B0A9EA8}/Intel Bluetooth.msi//media1.cab//mbtfca.dll   Alto   
23/01/12 18.18   Rilevato   Virus HEUR:Trojan.Win32.Generic   C:/Windows/Installer/_{7CE8BE79-ABC3-4B2C-9543-28ED2B0A9EA8}/Intel Bluetooth.msi//media1.cab//mediasrv.exe   Alto   

Ho provato a fare un'analisi su VirusTotal dei primi due file (gli altri non sono riusciti ad analizzarli perché non trovo la cartella).
Ecco i report:
https://www.virustotal.com/file/22c627a ... 327341427/
https://www.virustotal.com/file/65e721a ... 327341625/

A me danno tanto l'aria di super falsi positivi

Un vostro parere ?

[crazy.cat]

direi che ha cannato alla grande kaspersky.

[valeriot90]

Direi di si
Infatti sono tutti rilevati dalla euristica (Virus HEUR:Trojan.Win32.Generic)

[sampei.nihira]

E' spesso un' "impresa" riconoscere un malware da un falso positivo.

Chi è sicuro delle ottime performance della propria configurazione di sicurezza parte già bene perché un eventuale rilevamento potrà solo essere un FP.
In questo caso se agli scan on line c'è solo 1 prodotto che ottiene la positività è quasi-certo il FP.
Anzi spesso questi utenti non procedono neppure ad accertamenti successivi.
Solo se il FP si potrae nel tempo inviano il file incriminato alla softhouse per la risoluzione del problema con la versione successiva

Più difficile invece è il caso degli utenti che non sono sicuri delle performance della propria configurazione di sicurezza e quindi si trovano,qualche volta, nell'indecisione.
Se infatti lo scan on line segnala solo 1 rilevamento c'è il ragionevole dubbio che siamo di fronte ad un FP.

Ma caso vuole che qualche volta gli scan on line segnalano nessun rilevamento o più di 1 rilevamento (ma non molti) in prodotti che non hanno motori in comune.

In questi casi una "sedimentazione" del file è pressochè necessaria.
Basta poco tempo perché la situazione evolva verso un fronte oppure nel versante opposto.