Malwarebytes: dudas sobre detección real o falsa

Tengo un sistema Windows 10 Home versión 1909 64 bits instalada sobre ordenador con procesador AMD A4-6210 APU con gráfica integrada Radeon R3 Graphics.

He dejado esta noche pasando el antivirus Malwarebytes y esta mañana me he encontrado ésto:

1045×648 88.1 KB

El informe de Malwarebytes es éste (solamente he ocultado el nombre de mi host):

> Malwarebytes
> www.malwarebytes.com

> -Detalles del registro-
> Fecha del análisis: 17/1/21
> Hora del análisis: 0:33
> Archivo de registro: 43e816b6-5853-11eb-b8bd-f0761c721072.json
> 
> -Información del software-
> Versión: 4.2.2.95
> Versión de los componentes: 1.0.1096
> Versión del paquete de actualización: 1.0.35857
> Licencia: Gratis
> 
> -Información del sistema-
> SO: Windows 10 (Build 18362.1198)
> CPU: x64
> Sistema de archivos: NTFS
> Usuario: -----\-----
> 
> -Resumen del análisis-
> Tipo de análisis: Análisis personalizado
> Análisis iniciado por:: Manual
> Resultado: Completado
> Objetos analizados: 480247
> Amenazas detectadas: 4
> Amenazas en cuarentena: 0
> Tiempo transcurrido: 1 hr, 38 min, 55 seg
> 
> -Opciones de análisis-
> Memoria: Activado
> Inicio: Activado
> Sistema de archivos: Activado
> Archivo: Activado
> Rootkits: Desactivado
> Heurística: Activado
> PUP: Advertencia
> PUM: Advertencia
> 
> -Detalles del análisis-
> Proceso: 0
> (No hay elementos maliciosos detectados)
> 
> Módulo: 0
> (No hay elementos maliciosos detectados)
> 
> Clave del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Valor del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Datos del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Secuencia de datos: 0
> (No hay elementos maliciosos detectados)
> 
> Carpeta: 0
> (No hay elementos maliciosos detectados)
> 
> Archivo: 4
> Malware.AI.4170637941, C:\3DP\NET\1812\ATHEROS\9271\INIT_N7.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 641DA36F9F36B03AF896E275, dds, 01075563, 02076EAEBA79BE83883F4F674B50B5CC, D47A4F23D397A35ED4072E577DCEAFB99979FF98D9A3E4FB5F0658048C044E7E
> Malware.AI.4170637941, C:\3DP\NET\1812\ATHEROS\9271\INIT.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 641DA36F9F36B03AF896E275, dds, 01075563, F42960DDF3CC7E9D1251EC3D7DB10FBA, C2849A72C297DFB3B26446C0242D93E80CC13729A472B8C2DFB8D6B5559D99BA
> Malware.AI.752467707, C:\3DP\NET\1812\REALTEK\8723BS\INIT_8132.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 806544988E33B6752CD9BEFB, dds, 01075563, 76174FCA20FDF427CE310CFEF04AF86D, 52F113C05986F2C8586ED725CF49781D0776E1AD4D240A0901F6D6FCEFB762DD
> Malware.AI.752467707, C:\3DP\NET\1812\REALTEK\8723BS\INIT_8132_O1064.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 806544988E33B6752CD9BEFB, dds, 01075563, EB052D22E3154C89234DBD6D0A950E1B, BC5C3362DEB79A6247CA1B2EE38115ED708A9282F5334E99E9144C7A8C2E0F9D
> 
> Sector físico: 0
> (No hay elementos maliciosos detectados)
> 
> WMI: 0
> (No hay elementos maliciosos detectados)
> 
> 
> (end)

Yo no he creado la carpeta 3DP ni las subcarpetas, aunque me da que quizá las ha creado el propio Windows al instalarse.

Como tengo mis dudas de si realmente es malware o ha sido una falsa detección -ya que hasta ahora nunca habáin sido detectados- he pasado cada uno de los archivos por virustotal.com

Me ha dado los siguientes resultados: INIT_NT.EXE: Sólo lo detectan como malware 2 de 70

INIT_EXE: Sólo lo detectan 2 de 65

INIT_8132.EXE: Sólo lo detectan 3 de 69

INIT_8132_O1064.EXE: Sólo lo detectan 2 de 70

Los que los detectan en VirusTotal son: SecureAge APEX que lo pone como Malicious (los tres primeros)

CrowdStrike Falcon que lo pone como Win/malicious_confidence_60%(W) (los 4)

Zullia que lo pone como Trojan.Delf.Win32.118961 (el 3º)

Microsoft que lo pone como PUA:Win32/CandyOpen (el 4º)

En VirusTotal Malwarebytes no da como malware a ninguno de los cuatro.

Ésto también me da que pensar que sea falsa detcción, que mi Malwarebytes SI los detecta pero el Malwarebytes de VirusTotal NO los detecta.

No los he puesto en cuarentena dado que me da la impresión de que son drivers o similar, y si es una falsa detección y los quito es más que probable que luego el sistema no funcione correctamente.

Además añadir que yo no he notado ningún comportamiento anómalo o sospechoso del ordenador, baja de rendimiento ni nada parecido.

¿Opiniones?

Si no fue detectado por Kaspersky, nod32, Bitdefender ni Avast es un falso positivo definitivamente.

Pues sí. Muchas gracias por tu opinión; coincido contigo y ya me pensaba algo así, pero buscaba otras opiniones. Aún así, y por si acaso, esta maña también me he bajado y le he pasado el ESSET Online Scanner (los de Nod32), a la carpeta sospechosa C:/3DP y el resultado ha sido que, efectivamente, no ha encontrado ningún malware. Creo que ha sido una falsa detección. (al 99,999% claro). Me quedo más tranquilo. Lo dicho, gracias por tu opinión.

Hola @novicio,

Si me pasas los links de VirusTotal, puedo analizar los archivos - pero a simple vista y cuando son detectados como “Malware.AI” significa que es el motor de “Inteligencia Artificial” y parecen mas que nada detectados por no tener una firma digital valida o considerarlos como parte de algún Adware/PUP instalados por algún programa.

Salu2

Los links de Virustotal son:

https://www.virustotal.com/gui/file/c2849a72c297dfb3b26446c0242d93e80cc13729a472b8c2dfb8d6b5559d99ba/detection

https://www.virustotal.com/gui/file/d47a4f23d397a35ed4072e577dceafb99979ff98d9a3e4fb5f0658048c044e7e/detection

https://www.virustotal.com/gui/file/52f113c05986f2c8586ed725cf49781d0776e1ad4d240a0901f6d6fcefb762dd/detection

https://www.virustotal.com/gui/file/bc5c3362deb79a6247ca1b2ee38115ed708a9282f5334e99e9144c7a8c2e0f9d/detection

Hola, lamento la demora, pero si, como decía son parte de algunos PUPs, pero solos no son maliciosos, por lo que se puede considerar como un falso positivo que de hecho ya no te los tiene que volver a detectar.

Salu2

Hola, a mí hace poco me ha pasado algo parecido, solo que con un archivo “corrupto” en un intento de programar un “Hola mundo”, bloqueaba el .exe del archivo como si fuese un malware ¿Podría ser un falso positivo al ser un .exe disfuncional?