Malwarebytes: dudas sobre detección real o falsa

Tengo un sistema Windows 10 Home versión 1909 64 bits instalada sobre ordenador con procesador AMD A4-6210 APU con gráfica integrada Radeon R3 Graphics.

He dejado esta noche pasando el antivirus Malwarebytes y esta mañana me he encontrado ésto:

El informe de Malwarebytes es éste (solamente he ocultado el nombre de mi host):

Malwarebytes www.malwarebytes.com

-Detalles del registro- Fecha del análisis: 17/1/21 Hora del análisis: 0:33 Archivo de registro: 43e816b6-5853-11eb-b8bd-f0761c721072.json

-Información del software- Versión: 4.2.2.95 Versión de los componentes: 1.0.1096 Versión del paquete de actualización: 1.0.35857 Licencia: Gratis

-Información del sistema- SO: Windows 10 (Build 18362.1198) CPU: x64 Sistema de archivos: NTFS Usuario: ----------

-Resumen del análisis- Tipo de análisis: Análisis personalizado Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 480247 Amenazas detectadas: 4 Amenazas en cuarentena: 0 Tiempo transcurrido: 1 hr, 38 min, 55 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Advertencia PUM: Advertencia

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 4 Malware.AI.4170637941, C:\3DP\NET\1812\ATHEROS\9271\INIT_N7.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 641DA36F9F36B03AF896E275, dds, 01075563, 02076EAEBA79BE83883F4F674B50B5CC, D47A4F23D397A35ED4072E577DCEAFB99979FF98D9A3E4FB5F0658048C044E7E Malware.AI.4170637941, C:\3DP\NET\1812\ATHEROS\9271\INIT.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 641DA36F9F36B03AF896E275, dds, 01075563, F42960DDF3CC7E9D1251EC3D7DB10FBA, C2849A72C297DFB3B26446C0242D93E80CC13729A472B8C2DFB8D6B5559D99BA Malware.AI.752467707, C:\3DP\NET\1812\REALTEK\8723BS\INIT_8132.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 806544988E33B6752CD9BEFB, dds, 01075563, 76174FCA20FDF427CE310CFEF04AF86D, 52F113C05986F2C8586ED725CF49781D0776E1AD4D240A0901F6D6FCEFB762DD Malware.AI.752467707, C:\3DP\NET\1812\REALTEK\8723BS\INIT_8132_O1064.EXE, Sin acciones por parte del usuario, 1000000, 0, 1.0.35857, 806544988E33B6752CD9BEFB, dds, 01075563, EB052D22E3154C89234DBD6D0A950E1B, BC5C3362DEB79A6247CA1B2EE38115ED708A9282F5334E99E9144C7A8C2E0F9D

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Yo no he creado la carpeta 3DP ni las subcarpetas, aunque me da que quizá las ha creado el propio Windows al instalarse.

Como tengo mis dudas de si realmente es malware o ha sido una falsa detección -ya que hasta ahora nunca habáin sido detectados- he pasado cada uno de los archivos por virustotal.com

Me ha dado los siguientes resultados: INIT_NT.EXE: Sólo lo detectan como malware 2 de 70

INIT_EXE: Sólo lo detectan 2 de 65

INIT_8132.EXE: Sólo lo detectan 3 de 69

INIT_8132_O1064.EXE: Sólo lo detectan 2 de 70

Los que los detectan en VirusTotal son: SecureAge APEX que lo pone como Malicious (los tres primeros)

CrowdStrike Falcon que lo pone como Win/malicious_confidence_60%(W) (los 4)

Zullia que lo pone como Trojan.Delf.Win32.118961 (el 3º)

Microsoft que lo pone como PUA:Win32/CandyOpen (el 4º)

En VirusTotal Malwarebytes no da como malware a ninguno de los cuatro.

Ésto también me da que pensar que sea falsa detcción, que mi Malwarebytes SI los detecta pero el Malwarebytes de VirusTotal NO los detecta.

No los he puesto en cuarentena dado que me da la impresión de que son drivers o similar, y si es una falsa detección y los quito es más que probable que luego el sistema no funcione correctamente.

Además añadir que yo no he notado ningún comportamiento anómalo o sospechoso del ordenador, baja de rendimiento ni nada parecido.

¿Opiniones?

Si no fue detectado por Kaspersky, nod32, Bitdefender ni Avast es un falso positivo definitivamente.

Pues sí. Muchas gracias por tu opinión; coincido contigo y ya me pensaba algo así, pero buscaba otras opiniones. Aún así, y por si acaso, esta maña también me he bajado y le he pasado el ESSET Online Scanner (los de Nod32), a la carpeta sospechosa C:/3DP y el resultado ha sido que, efectivamente, no ha encontrado ningún malware. Creo que ha sido una falsa detección. (al 99,999% claro). Me quedo más tranquilo. Lo dicho, gracias por tu opinión.

Hola @novicio,

Si me pasas los links de VirusTotal, puedo analizar los archivos - pero a simple vista y cuando son detectados como “Malware.AI” significa que es el motor de “Inteligencia Artificial” y parecen mas que nada detectados por no tener una firma digital valida o considerarlos como parte de algún Adware/PUP instalados por algún programa.

Salu2

Los links de Virustotal son:

https://www.virustotal.com/gui/file/c2849a72c297dfb3b26446c0242d93e80cc13729a472b8c2dfb8d6b5559d99ba/detection

https://www.virustotal.com/gui/file/d47a4f23d397a35ed4072e577dceafb99979ff98d9a3e4fb5f0658048c044e7e/detection

https://www.virustotal.com/gui/file/52f113c05986f2c8586ed725cf49781d0776e1ad4d240a0901f6d6fcefb762dd/detection

https://www.virustotal.com/gui/file/bc5c3362deb79a6247ca1b2ee38115ed708a9282f5334e99e9144c7a8c2e0f9d/detection

Hola, lamento la demora, pero si, como decía son parte de algunos PUPs, pero solos no son maliciosos, por lo que se puede considerar como un falso positivo que de hecho ya no te los tiene que volver a detectar.

Salu2