¿Cómo saber si la alerta de virus es un falso positivo?

Primero, debe verificar que el correo electrónico de su ISP sea válido (es decir, que provenga de su ISP). No estoy seguro de por qué alguien podría advertirle de una posible infección por intención maliciosa, pero la paranoia no siempre es lo peor en el mundo cuando se trata de seguridad. Llame a su ISP. Pregúntales cómo captaron esto.

A menos que sepa de manera explícita lo que está buscando (llamadas de socket, beats, etc.) será difícil de verificar. Siempre es mejor estar seguro que lamentarlo. Nuevamente, llame a su ISP y vea cómo le tomaron las huellas dactilares y, desde allí, podrá reducir el punto de infección.

Si de hecho es Zbot , entonces puede ser MUY difícil de detectar y eliminar con herramientas AV estándar o incluso ejecutar una secuencia de comandos llamada secuencia de comandos de registro . Puedes hacer lo mejor que puedas con las herramientas a tu disposición, e incluso ejecutar el script de tron para ver si detecta algo. Pero, este es uno de los principales métodos de entrega de ransomware, botnets, etc. Y como tal, está muy bien oculto y escrito.

Aquí es donde la historia se pone triste, probablemente necesite deténgalo de la órbita. Lo sé, esta opción apesta ... mucho ... Pero, la mayoría, si no todos, nos topamos con esto de vez en cuando. Especialmente en el ámbito de la investigación.

Definitivamente, debe ponerse en contacto con su ISP y solicitar más consejos e información sobre su evaluación.

Si está realmente infectado por este tipo de malware avanzado, probablemente debería volver a instalar Windows. Puede encontrar algunos consejos sobre cómo detectar si está infectado aquí o here (ambos enlaces desde Wikipedia ). Sin embargo, como este no es un proceso perfectamente preciso, debería ponerse en contacto con su ISP.

Si existe la posibilidad de que realmente esté infectado, no se moleste en intentar eliminar el malware, simplemente vuelva a instalarlo.

Disculpe la respuesta ligeramente filosófica, pero:

Ya que no puede viajar en el tiempo para obtener una vista completa de lo que hizo su red en el momento de la detección, y como no tiene una grabación lo suficientemente completa de sus interacciones con Internet en ese momento, lógicamente no se puede refutar la corrección de esa alarma.

Entonces, para responder el título de tu pregunta:

No puedes saberlo. Con este tipo de cosas, normalmente usted prefiere equivocarse por el lado de la seguridad y presume que la alarma está justificada.

Determinar si es un falso positivo puede ser complicado. ¿Tiene acceso al binario del archivo en cuestión?

Si es posible, puede tomar un binario de la "infección" y cargarlo en VirusTotal y ver cuántas soluciones antivirus detectan como malware.

Como alternativa, puede obtener un hash MD5 del binario y enviarlo a VirusTotal para ver si tiene un historial de detección de malware.

Otra forma más avanzada es realizar ingeniería inversa del binario en un desensamblador o depurador para estudiar el comportamiento del binario. También puede ejecutarlo en un entorno aislado y usar las utilidades del explorador de procesos para ver qué tipo de cambios intenta realizar en el sistema y qué procesos secundarios genera.