Egy széles körben hamis pozitív találatnak hitt riasztásról a G DATA szakértői kiderítették, hogy egy kínai ip-címre forgalmat terelő, rendszerszintű kártevő váltotta ki, amelyet a Microsoft is aláírt elektronikusan.
A G DATA minden hozzá beküldött fals pozitív riasztást megvizsgál, hogy ezzel is javítsa vírusvédelmét. Így történt június közepén is, amikor a G DATA felhasználói egy lehetséges fals pozitív találatról küldtek értesítést: a Netfilter nevű driver-nél első pillantásra minden rendben volt, hiszen azt a Microsoft írta alá. A Windows Vista operációs rendszer óta kötelező az operációs rendszer által futtatott kódokat tesztelni a fejlesztőknek, és alá is kell írniuk mielőtt a felhasználók tömegesen elkezdi használni azokat, ezzel is biztosítva az operációs rendszer stabilitását. A tanúsítvány nélküli Microsoft drivereket alapból nem lehet telepíteni. A G DATA által felfedezett drivert a Microsoft valóban aláírta, de a szakemberek számára gyanús találatról közelebbi vizsgálat után kiderült, hogy egy olyan rootkit kártevőről van szó, amely egy kínai IP címre tereli a forgalmat. A G DATA az elemzésének adatait megosztotta a Microsoft-tal, amely azóta frissítette a Windows Defender szignatúra adatbázisát. Egyelőre nem derült ki, hogy a drivert pontosan ki és hogyan tudta aláírni, és így egy hiteles Microsoft drivernek feltüntetni.
A tanulság
Még olyankor is érdemes konzultálni a vírusvédelem gyártójával, amikor viszonylag biztosak vagyunk abban, hogy téves riasztásról van szó, mert az adott fájlt ismerjük, vagy az megbízható helyről származik. Tegyük meg, hogy eljuttatjuk azt a gyártónak, és a válaszáig lehetőleg ne futtassuk, ne telepítsük az állományt.