Egy széles körben hamis pozitív találatnak hitt riasztásról a G DATA szakértői kiderítették, hogy egy kínai IP címre forgalmat terelő, rendszerszintű kártevő váltotta ki, melyet a Microsoft is aláírt, egyelőre nem tudni milyen körülmények között.

Nem is olyan rég írtunk a fals pozitív riasztásokról, hogy azok mennyire megkeserítik a rendszergazdák életét. A G DATA minden hozzá beküldött hasonló mintát megvizsgál, hogy ezzel is javítsa vírusvédelmét. Így történt június közepén is, amikor a G DATA felhasználói egy lehetséges fals pozitív találatról küldtek értesítést: a Netfilter nevű driver-nél első pillantásra minden rendben volt, hiszen azt a Microsoft írta alá.

A Windows Vista operációs rendszer óta kötelező az operációs rendszer által futtatott kódokat tesztelni a fejlesztőknek, és alá is kell írniuk mielőtt a nagyközönség tömegesen elkezdi használni azokat, ezzel is biztosítva az operációs rendszer stabilitását. A tanúsítvány nélküli Microsoft drivereket alapból nem lehet telepíteni.

A G DATA által felfedezett drivert a Microsoft valóban aláírta, de a szakemberek számára gyanús találatról közelebbi vizsgálat után kiderült, hogy egy olyan rootkit kártevőről van szó, mely egy kínai IP címre tereli a forgalmat.

A G DATA elemzésének adatait megosztotta a Microsoft-tal, akik azóta frissítették a Windows Defender szignatúra adatbázisát. A cikk írásának pillanatáig azonban nem derült ki, hogy a drivert pontosan ki és hogyan tudta aláírni, és így egy hiteles Microsoft drivernek feltüntetni.

A tanulság, hogy még olyankor is érdemes konzultálni a vírusvédelem gyártójával, amikor viszonylag biztosak vagyunk abban, hogy téves riasztásról van szó, mert az adott fájlt ismerjük, vagy az megbízható helyről származik. Tegyük meg, hogy eljuttatjuk azt a gyártónak, és a válaszáig lehetőleg ne futtassuk, ne telepítsük az állományt.