Les faux positifs peuvent avoir lieux sur des programmes, fichiers téléchargés et parfois sur des fichiers systèmes Windows.
Dans le cas d'un fichier téléchargé, ce n'est pas vraiment problématique, on peux désactiver temporairement la protection antivirus ou mettre le fichier en exception.
Dans le cas d'un fichier système ou programme, cela peux poser de gros problèmes, si le fichier en question a été placé en quarantaine.
On peux alors se retrouver avec des dysfonctionnements, cela peux aller à des pertes de fonctionnalités à des BSOD au démarrage de Windows.
Voici quelques exemples de fichiers systèmes détectés par erreur par les antivirus par le passé :
- McAfee Faux Positif svchost.exe (W32/Wecorl.a) : McAfee Faux Positif svchost.exe
- AVG qui a détecté C:\Windows\system32\user32.dll en Trojan Horse PSW.Banker4.APSA et AVG : AVG Faux Positif user32.dll
- Trend-Micro qui a détecté le fichier C:\Windows\system32\
svchost.exe : Faux Positif Trend-Micro svchost.exe - Avast! qui a détecté C:\Windows\system32\kernel32.dll : Avast! faux positif kernel32.dll
- Mass detection par BitDefender : Faux positif BitDefender FakeAlert.
etc.
Par exemple Antivir qui détecte AdwCleaner en TR/Autoit.rysw
Il peux aussi arriver que ce soit des URLs (adresse WEB), donc des sites WEB, qui soient détectés par erreur.
Quelques exemples :
- Avast! Faux positif sur adblock-listefr.com
- JS:BlaCole-AV : Avast! Faux Positif
- Avast et HTML/script-inf - Faux Positif
- Atdhe.net et faux positif Antivir
Dans le cas d'une détection sur un programme qui est installé depuis plusieurs semaines/mois, il y a de grandes chances que ce soit un faux positif.
Parfois il est pas forcément simple de déterminer si un fichier est réellement malicieux ou non.
La meilleur solution consiste à scanner le fichier sur VirusTotal : analyser un fichier sur VirusTotal.
Si seul votre antivirus le détecte, alors, il y a de grandes chances que ce soit un faux positif.
Dans le doute, vous pouvez toujours poser la question sur le forum dans la partie Virus.
Si vous êtes sûr que cela est un faux positif, vous pouvez envoyer le fichier à l'éditeur afin que ce dernier corrige dans une future mise à jour de la base de données.
Le cas des RiskTools et PUPs
Les antivirus peuvent aussi détecter des programmes en outils risques qui sont utilisés par des programmes sains.
Notamment des programmes de nettoyages de virus ou parfois de restauration du système comme c'est le cas d'HP. Exemple : Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe
Un outils à risque est un programme qui peux permettre d'effectuer des actions néfastes, comme arreter un autre programme (par exemple votre antivirus).
Tout dépend de l'utilisation que l'on en a, une personne mal intentionnée peux l'utiliser mais un programme sain peux aussi s'appuyer dessus pour fonctionner.
Les antivirus par prévention les détecter, c'est à l'utilisateur d'estimer, selon la localisation dans le système, la provenance du programme etc, si celui-ci est malicieux ou non.
Enfin les PUPs sont des programmes parasites qui peuvent être parfois détectés par les antivirus.
Plus d'informations : PUPs : Programmes parasites et Adwares
Mettre un fichier en exception
Dans le cas d'une détection erronée, pour faire stopper les détections répétitives en attendant la correction par l'éditeur de l'antivirus dans une mise à jour.
Dans le cas d'Antivir se reporter à la page suivante : Antivir comment ajouter un objet en exception
Dans le cas d'Avast!, il faut aller dans les paramètres de l'antivirus et ajouter le fichier en exception, se reporter au tutorial Avast! : Tutorial Avast!
Rapporter des faux positifs aux Antivirus
Vous pouvez signaler le faux positif afin de faire corriger la détection.