Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB51610 Webroot e i falsi positivi

Ultimo aggiornamento: 19/10/2016
Articolo valido per Webroot versione: 8 e successive

Come posso gestire i falsi positivi con webroot

Tutti gli antivirus restituiscono falsi positivi; questo articolo di KB illustra alcune strategie e procedure per gestirli con Webroot.


Segnalazione al supporto di Webroot

Il modo migliore di risolvere un falso positivo con Webroot è quello di segnalarlo al produttore, tramite il portale del supporto o dalla propria console.

 



Il supporto di Webroot è molto reattivo nella gestione dei falsi positivi, e le richieste in questo senso sono risolte quasi sempre il giorno stesso in cui sono create. 

La segnalazione al supporto ha anche il vantaggio, rispetto alla creazione  di override, di:
risolvere il problema permanentemente. Anche se cambia la versione dell'applicativo, l'inserimento nella whitelist centralizzata rimane valido.
risolvere il problema per tutti gli endpoint. Dato che il database di Webroot è centralizzato, non c'è bisogno di ripostare l'override su tutti gli endpoint
risolvere il problema per tutti i moduli dell'applicativo. Anche se si crea un override su un eseguibile o su una cartella, è possibile che siano bloccati altri eseguibili, altre cartelle o altre librerie - che l'applicativo non stava utilizzando al momento della creazione dell'override.Questo problema non si presenta se l'applicativo è inserito in Whitelist centralmente.
non introdurre falle di sicurezza. Se si esclude una cartella dal controllo di Webroot, malware che si installassero in quella cartella non verrebbero rilevati.
Funziona anche per i processi monitorati. I processi monitorati vengono loggati in tempo reale da Webroot: se ce ne sono molti, vengono sprecate le risorse della macchina e rallentato il funzionamento dell'applicativo, anche se non è bloccato.
Funzionare anche per falsi positivi su URL

Un esempio di segnalazione tramite il portale potrebbe essere

Hello Support

a customer [login del cliente] noticed a false positive in his console [Nome del sito del cliente]: the application [nome dell'applicazione] is blocked by Webroot Secure Anywhere.


Volendo, si possono inserire altri dettagli, come il codice MD5 dell'applicativo e la riga nei log (file c:\programdata\wrdata\wrlog.log) nella quale si vede il blocco:

The application MD5 is [MD5 dell'applicazione]

In the customer's installations c:\programdata\wrdata\wrlog I found those lines

25-05-2016 15:32:58.0083    Infection detected: c:\users\bruno.rinoldi\appdata\local\temp\7ze42a92383\mockvirus.exe [MD5: F7CA0D221036324584B02C671164743D] [3/08000000] [W32.Bot.Gen]
25-05-2016 15:32:58.0084    File blocked in realtime: c:\users\bruno.rinoldi\appdata\local\temp\7ze42a92383\mockvirus.exe [MD5: F7CA0D221036324584B02C671164743D, Size: 276992 bytes] [134217728/00000003] [W32.Bot.Gen]
25-05-2016 15:32:58.0088    Determination flags modified: c:\users\bruno.rinoldi\appdata\local\temp\7ze42a92383\mockvirus.exe - MD5: F7CA0D221036324584B02C671164743D, Size: 276992 bytes, Flags: 00000020


Thanks in advance, best regards

L'aspetto del form per la segnalazione nel portale di Webroot è all'incirca questa:
 


 
Scansione in modalità Silent Audit
 
Tra le policy di default di Webroot c'è n'è una che si chiama 'Silent Audit'. Quando sui client assegnati a questa policy viene eseguita una scansione, Webroot si limita a segnalare e riportare le minacce rilevate, senza bloccarle o eliminarle.

 
 

È buona norma, quando si installa Webroot, eseguire la prima scansione in modalità Silent Audit.
Analizzando poi il report di scansione (occorre scegliere i parametri del report più adatti alla propria installazione)
 


si possono individuare i falsi positivi più evidenti e segnalarli a Webroot. Se i falsi positivi sono bloccanti, si possono impostare uno o più override. 
 
Override
Quando Webroot rileva una minaccia, è possibile impostare un override sulla minaccia stessa; gli override sono simili alle eccezioni di un antivirus tradizionale.
Però, mentre con le eccezioni si istruisce un antivirus perché ignori un certo file o cartella, un override può 'marchiare' un file non solo come good, ma anche come bad.
Insomma, mentre le eccezioni degli antivirus tradizionali servono per la gestione dei falsi positivi, con gli override serve per gestire falsi positivi e falsi negativi.
 
Gli override richiedono l'MD5 del file su cui li si imposta, dunque un override può essere impostato solo su un singolo file, non su un gruppo di file o una cartella.
 
Per  impostare un override da un report:
 
  • selezionare (con un segno di spunta i rilevamenti e cliccare su 'crea override'

 
  • Nel Pop-un successivo, scegliere la determinazione dei file selezionati come Good o Bad
 

 
  • cliccare su save.
Per creare direttamente un override
 
Andare nella finestra degli override, selezionare un file dall'elenco e scegliere create.

 


Segnalazione a supporto
 
Se non basta impostare degli override (per esempio se il falso positivo si presenta su tutti i file di una cartella, o su file temporanei) bisogna segnalare il problema tramite il portale del supporto di Webroot.
 
La soluzione verrà riportata autoimaticamente su tutte le macchine che usano Webroot.

Per fare esclusioni file e directory in autonomia segui questa KB
 

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.