Come dire se un malware è un falso positivo da ignorare?

Distinguere un virus da un falso positivo; come riconoscere quando l'antivirus blocca come malware programmi buoni

Può capitare, anche spesso, che l'antivirus segnali falsi positivi ossia che prenda per virus dei file che, in realtà, sono puliti e innocenti. Alle volte, per alcuni file o programmi che si trovano su internet, può essere scritto di disattivare l'antivirus nel caso in cui esso venga segnalato come infezione sospetta.
A chi bisogna credere? quando si può dire con certezza se un download è davvero sicuro?
D'altro canto un falso positivo è un errore dell'antivirus che può anche essere sfruttato da un hacker per ingannare l'utente a scaricare malware.
Come si può distinguere quindi un malware da un falso positivo?

LEGGI ANCHE: Si dovrebbe pagare per un Antivirus?

Prima di tutto occorre sapere che i vari antivirus rilevano più o meno falsi positivi.
Secondo l'attuale report di AV-Comparatives l'unico antivirus che non rileva falsi positivi è Microsoft Windows Defender (che però è anche quello che si fa scappare più virus quindi non va bene).
I migliori antivirus con meno falsi positivi sono, secondo il report, Eset e Kaspersky e, tra i gratuiti, Avira attualmente.

Se si scarica un file e che l'antivirus rileva come dannoso, probabilmente lo è, ma se si pensa sia un falso positivo, meglio fare un controllo e verificare se anche gli altri antivirus lo rilevano come tale.
Quando un file viene rilevato come virus dall'antivirus, se non si è sicuri o se il sito da dove è stato scaricato ha avvertito riguardo possibili errori, per avere un controllo appropriato si può usare uno dei servizi online come VirusTotal per il controllo con 30 o più antivirus insieme.
Se si tratta di un falso positivo, solo pochi programmi antivirus dovrebbero segnalarlo come un malware, mentre la maggior parte dovrebbe dire che è sicuro.
I siti come Virustotal.com permettono di inviare quel file ai loro server e ricevere in cambio il risultato del test di sicurezza.

In generale comunque è importante valutare la fonte del download.
Può essere che venga scaricato un file da un sito sicuro e di fiducia che viene preso per virus dall'antivirus e allora si può ignorare il messaggio. Tenere però presente che non c'è ancora alcuna garanzia e può anche essere che il sito web della società possa essere stato compromesso oppure che il sito sia una copia falsa di uno famoso, pieno di virus.
Se il file rilevato come virus è stato scaricato da un sito mezzo sconosciuto, allora è meglio non fidarsi proprio e così anche se proviene da reti peer-to-peer.
Sei sicuro che sei sul vero sito web della società e non un sito web falso creato per ingannare l'utente a scaricare malware ?

Per alcuni file rilevati come dannosi dall'antivirus, vale la pena segnarsi il tipo di virus rilevato e cercare con Google cos'è per scoprire se ci sono articoli che ne parlano come di un malware pericoloso o solo di un sospetto. In alcuni casi ci sono file che hanno usi legittimi che vengono segnalati come malware e bloccati perché possono essere utilizzati per scopi malevoli.
Per esempio in questo blog sono stati segnalati come virus falsi positivi alcuni programmi per spiare il computer degli altri come un keylogger, che possono essere effettivamente usati in modo fraudolento.
Un altro esempio è il test per controllare se un antivirus funziona o no.

In conclusione, non c'è un modo infallibile per sapere con certezza se un file è in realtà un falso positivo o se è un virus vero. Quello che possiamo fare è raccogliere informazioni e ricevere secondi pareri con altri programmi antivirus e controllare che il file provenga da una fonte affidabile. Nel dubbio, se un file è indicato come un virus, non è consigliabile eseguirlo.