htm=gpsplex/avira.htm ok gpsplex/avira.htm AVIRA y su falso postivo de virus (troyano).

AVIRA y su falso postivo de virus (troyano).


El archivo gpsplex.zip, a fecha de hoy (28/04/2009), es el mismo archivo ZIP sin cambios desde el 14/08/2007. Este archivo zip no contiene ningún virus.

Uno de los ficheros contenidos en el ZIP es GpsPlex.EXE, es un ejecutable para PC que realiza la función descrita en la documentacion (multiplexor de GPS). Tal como se indica en la documentción, GspPlex crea sobre la marcha un driver de puerto serie virtual que emula la existencia de un GPS.

Desde Abril de 2009, el antivirus AVIRA da una falsa alarma de troyano sobre el archivo GspPlex.exe, esta alarma salta al descomprimir el ZIP.  Probablemente este antivirus ha detectado la creación del driver y, sin más comprobaciones, han incluido GpsPlex.EXE en su base de datos de troyanos.

Posibles soluciones:

La primera solucion a este problema, la más recomendable, consiste en cambiar de antivirus. Un antivirus que incluye alegremente programas en su lista de virus, sin más comprobaciones, y que da falsos positivos, es menos fiable que un antivirus que ajuste bien sus avisos.

Si desconfías de la existencia real del troyano, y/o si no piensas usar GpsPlex en el PC, puedes dejar que AVIRA elimine el programa GpsPlex.exe, eligiendo la opcion 'delete'. La versión más usada de GpsPlex es la que se usa en PocketPc (Windows Mobile), esta versión está contenida en GpsPlex.CAB y no se ve afectada por el falso postivo de AVIRA.

Si necsitas usar GpsPlex.exe en el PC, puedes elegir la opcion 'ignore', seleccionado además 'note action seleced for this file', y el antivirus no borrará el fichero exe, con lo cual podrás usarlo normalmente.

Edito para añadir:

El archivo original:

La figura adjunta muestra el contenido del archivo gpsplex.zip, antes de descomprimirlo con 7-zip Para asegurarte de que tienes el archivo original, comprueba que los tamaños de los ficheros (sobre todo gpsplex.exe) no han variado, y para más seguridad comprueba tambien que el CRC es el mismo .

Otros antivirus ...

Lo que comenzó con AVIRA, se ha extendido a otros antivirus, parece ser que las compañías que hacen estos programas comparten datos y tambien parece ser que ninguna comprueba los programas realmente. A fecha de hoy - 8 de mayo de 2009 - los antivirus McCafee y Panda dan un falso positivo en el fichero GpsPex.exe y lo califican de troyano genérico. Para colmo Telefónica (esa "gran" compañía) y  probablemente Ono, tambien impiden la descaga del archivo gpsplex.zip

De momento NOD32 no ha caído en la carrera loca por ver quien detectata más virus (a costa de calificar como visrus cualquier cosa que se menee). Buscando informacion sobre este tema en internet, he leído algún mensaje procedente de NOD32 en el que mantienen que ellos "comprueban"  si los visrus lo son en realidad. Espero que esto sea cierto, ya era mi antivirus preferido antes (es el que uso), y lo será más todavía si no acaban metiendo mi programa en la lista negra de un modo tan arbitrario como los otros.

La solución:

La única buena solucion a este problema consiste en recompilar el programa, extrayendo el driver fuera de GpsPlex, y creando un instalador independiente. Eso forzará a instalar el programa antes de usarlo, algo que trato de evitar siempre que puedo. Aún así, una vez recogida "la firma" del programa en las bases de datos de troyanos, es posble que el nuevo programa recompilado o el propio driver, presenten la misma firma, por lo que es posible que incluso tenga que eliminar las optimizaciones de compilación para generar un fichero binario totalmente diferente.

De momento, como solución provisional, he modificado el modo de descargar el programa.