Durante el día de hoy, hemos tenido varios informes de clientes que han tenido problemas porque su programa de contabilidad y/o facturación del Grupo SAGE (creadores de aplicaciones tan conocidas como ContaPlus y FacturaPlus) dejaba de funcionar debido a un falso positivo por parte de Avast (normalmente, con versiones no actualizadas de dichos programas).

Facturaplus Avast

El problema viene derivado por las detecciones genéricas, que están pensadas para ofrecer la mayor protección posible a nuestros usuarios. En un mundo en el que la producción vírica está en un claro progreso ascendente, con ejemplares cada vez más complejos y con capacidades de camuflaje más sofisticadas, es más necesario que nunca que los antivirus puedan contar con armas adicionales respecto a las clásicas detecciones por firmas. Así pues, se utilizan otras herramientas como análisis heurístico, análisis por comportamiento, etc.

Pues bien, existen ciertos programas que por la manera en que están desarrollados tienen comportamientos internos muy parecidos a ciertos ejemplares de malware (lo cual no quiere decir, en absoluto, que lo sean también). Entonces Avast, por seguridad, los detecta y los pone en cuarentena en su baúl, para prevenir posibles infecciones por virus aún no conocidos. Esto es lo que en la industria se conoce como “falso positivo” y desde luego ninguna marca se escapa de ellos… sólo por recordar un caso muy famoso, tenemos el ejemplo de McAfee en 2010 dejando totalmente inutilizados miles de ordenadores (os lo contamos en su día en este artículo). Por otra parte, y volviendo al tema que nos ocupa, tenemos noticias de que el Grupo SAGE ha tenido el mismo inconveniente con otras marcas de antivirus.

Una vez hechas las pertinentes explicaciones, vamos a lo que realmente importa: cómo solucionarlo. Seguiremos estos pasos:

1.- La primera acción a acometer es INFORMAR A AVAST DEL FALSO POSITIVO, ya que cuando aparece un aviso de detección (la típica ventana roja) suele incorporar un vínculo denominado “Informar de falso positivo”. Si estamos seguros de que el virus no es tal y que se trata de un error, debemos enviar cuanto antes el archivo a Avast mediante este método para que nuestro laboratorio reciba la muestra, la analice y la incorpore cuanto antes a la base de datos de aplicaciones seguras. Una vez hecho este análisis, si se determina que el archivo es seguro y que estamos efectivamente ante un falso positivo, Avast incorporará la solución a sus antivirus a través de las actualizaciones instantáneas por streaming.

2.- Haremos una exclusión, de manera que le indicaremos a Avast que no escanee el directorio donde se encuentra el ejecutable (como norma general, será la carpeta GRUPOSP) : Opciones -> Antivirus -> Exclusiones.

Avast y Grupo SAGE - Exclusiones

También es aconsejable realizar estas acciones:

– Meter las excepciones también en los escudos específicos: Escudo de sistema de archivos (Opciones–>Protección activa–>Escudo de sistema de archivos–>Pulsamos en “Personalizar”–>Exclusiones), y también en el Escudo web si vemos que nos bloquea direcciones web que pertenezcan al fabricante, como podemos ver en esta imagen:

bloqueo url contaplus

Observamos que en el apartado Información y Noticias del programa, nos aparece que no hay conexión a internet porque Avast está detectando en contenido HTML que se mostraría en esos apartados como dañino. Hay que tener en cuenta el uso de comodines como el asterisco para realizar las excepciones de manera correcta, por ejemplo, si ponemos *paginaejemplo.com* en el escudo web (con asterisco al principio y al final del nombre), estaremos dando como excepción cualquier página o subdominio que pertenezca a al dominio paginaejemplo.com

– En ocasiones los programas usan carpetas que no son estrictamente las propias del programa, sino otras que pueden estar por ejemplo en

C:/USUARIOS/APPDATA/USUARIODEEJEMPLO/LOCAL/XXXXXXXX

Donde las X corresponderían normalmente al nombre del programa o empresa que lo desarrolla. Vemos un ejemplo en esta imagen:

ejemploappdatasage

Este directorio APPDATA está oculto, pero si vemos una detección que corresponda a él o cualquier otro, tomaremos nota de dicha ruta y la añadiremos también a todas las excepciones, poniendo en dicho apartado:

C:/USUARIOS/APPDATA/USUARIODEEJEMPLO/LOCAL/XXXXXXXX/*

De manera que así estamos indicando a Avast que no escanee ni tenga en cuenta todo lo que hay dentro de la carpeta XXXXXXXX.

3.- Abriremos el baúl de virus, que se encuentra, en Avast 2014, en la opción Análisis–>Cuarentena (baúl de virus):

Avast baúl de virus cuarentena

Y una vez dentro del baúl, recuperaremos el archivo en cuarentena (y haremos una exclusión específica para él para más seguridad) haciendo clic con el botón derecho encima de su nombre y eligiendo la opción correspondiente (restaurar y excluir):

Baúl de virus avast restaurar archivo

4.- Por último, ejecutaremos Ejecutar la herramienta de reparación de SAGE, que se puede descargar aquí:

http://cdn.updates.sagesp.com/panel/repairsppg.exe

Siguiendo estas indicaciones, debería solucionarse el problema y se podría seguir usando tanto Avast como el programa que haya sido afectado. Sin embargo, hemos recibido varias notificaciones de que incluso restaurando el archivo del baúl, el programa sigue sin funcionar. Esto es debido a que se cambian los valores de fecha y hora del archivo cuando es restablecido. Por tanto, si estamos en este caso, lo que haremos será usar una aplicación que nos permita alterar estos valores en el fichero (tendríamos que usar los que aparecen en el baúl de Avast), como por ejemplo BulkFileChanger de Nirsoft, que algunos de nuestros comentaristas han reportado como válido para realizar esta operación de manera exitosa.

Gracias por utilizar avast! Antivirus y por recomendarlo a tu familia y amigos. Para estar al día de las últimas noticias y concursos, por favor, síguenos en Facebook, Twitter, Google+ e Instagram. Empresarios, echad un vistazo a nuestros productos Avast para empresas.