Los dos problemas típicos a los que se enfrenta cualquier motor antimwalware son:
1.- Detectar todo el malware existente en un sistema.
2.- No detectar ningún fichero legítimo como malware, es decir, no tener errores de Falsos Positivos.
Estas características son medidas siempre en todos los tests y pruebas de detección que utilizan las empresas que se dedican a certificar o premiar el funcionamiento de las soluciones antimalware/antispam.
Lógicamente, para conseguir solucionar el problema 1, es decir, detectar todo el malware existente en un sistema, los motores antimalware necesitan analizar las muestras de malware, por lo que el primer paso consiste en obtener esas muestras. Para ello el equipo de Microsoft trabaja en varios frentes que van desde la creación de Honney Pots y Honney Nets al rededor del mundo para recibir muestras de ataque, la suscripción a sistemas de trabajo colaborativo con otros laboratorios en la detección de muestras, como en
Virus-Total, la recolección de muestras por medio de los miembros de la red Microsoft SpyNet o el reporte directo a través de Internet.
En todos los casos el objetivo es recoger muestras de malware, pero también la detección de los Falsos Positivos. Así, si una herramienta de Microsoft ha detectado un fichero legítimo como una muestra malware, es importante avisar a Microsoft para que corriga la firma que fue origen de la detección erronea. Con este objetivo Microsoft tiene abierto, en el Malware Protection Center, una página web en la que se puede reportar un malware o un falso postivo. Además, es conveniente reportar que herramienta es la que detecto ese falso postivo. En el ejemplo de abajo se puede ver como nuestro compañero Chema Alonso está reportando un supuesto falso postivo de una herramienta.
Reporte de un supuesto falso positivo de Microsoft Security Essentials
Si tienes alguno de estos dos problemas con un producto de tecnología Forefront no dudes en reportarlo en la siguiente URL:
Envío de muestras de malware y falsos positivos a Microsof