Las falsas alarmas de antimalware son bastante comunes debido a la forma en que funciona este tipo de software y las limitaciones teóricas .
Es infrecuente que los antimalware tengan una copia exacta del malware incluido por varios motivos:
- Hay muchos, muchos programas malos por ahí, por lo que el antimalware sería de varios cientos de gigabytes de tamaño.
- El malware puede existir en muchos, incluso puede modificarse.
- La distribución de malware tiene implicaciones legales, incluso si se distribuye como parte de una solución de seguridad.
Entonces, ¿cómo funciona la detección de malware en la práctica?
La forma más común es el uso de firmas que se calculan en función de los archivos de malware. La compañía anti-malware busca huellas digitales distintas en el binario de malware que se puede usar para identificarlo.
Desafortunadamente, otros archivos legítimos pueden tener las mismas huellas digitales. Por ejemplo, si la compañía utiliza una parte de una biblioteca estática vinculada poco común.
Otro enfoque es analizar el comportamiento de una aplicación . Por ejemplo, no espera que un programa de procesamiento de texto escriba en el sector de arranque.
Sin embargo, los navegadores se conectan a Internet y escriben varios archivos. Son aplicaciones de host para complementos, complementos y extensiones. Así que es muy probable que desencadenen la detección de comportamiento.
Ambos enfoques a menudo vienen con una lista blanca de buenos programas conocidos. Sin embargo, puede tomar algún tiempo hasta que se agregue una nueva versión de un software incluido en la lista blanca.