Um falso positivo ocorre quando o software anti-vírus identifica um ficheiro, um processo, um website, ou até uma pasta de arquivo como malicioso.

A análise de comportamento que está incorporada no anti-vírus detecta acções (embora por si mesmas podem não ser maliciosas) que quando correlacionadas com outras acções já conhecidas e carregadas nas bases de dados do anti-vírus representam um sintoma de possível actividade maliciosa.

Assim como errar é humano, o software anti-vírus por vezes também erra. Praticamente todas as marcas prestam apoio efectivo no que diz respeito a falsos positivos, sejam eles websites, ficheiros do computador da empresa, ou lá de casa. As marcas de anti-vírus têm todo o interesse em ajudar no “delist” de falsos positivos.

Há também as listas negras que através de acção automatizada, e também por input de administradores de sistemas e utilizadores, identificam websites e ficheiros com código malicioso incorporado que podem ser utilizados para diversos tipos de ataques cibernéticos, e também para envio massivo de e-mail ou ataques de spam.

Falso negativo

Um falso negativo é obviamente o contrário de um falso positivo. Um falso negativo contém de facto código malicioso mas o software anti-vírus não o consegue identificar como tal. As causas podem ser várias: a assinatura do vírus (código que o compõe) não é conhecida, ou a informação sobre a assinatura não foi ainda carregada na base de dados do anti-vírus.

António Carvalho, anti-virus.pt