Egy széles körben hamis pozitív találatnak hitt riasztásról a G DATA szakértői kiderítették, hogy egy kínai IP-címre forgalmat terelő, rendszerszintű kártevő okozta, ráadásul a Microsoft is aláírt, egyelőre egyelőre nem tudható, milyen körülmények között.
Különösen megkeserítik a fals (valójában hamis) pozitív riasztások a rendszergazdák életét. A G DATA minden hozzá beküldött hasonló mintát megvizsgál, hogy ezzel is javítsa vírusvédelmét. Így történt június közepén is, amikor a G DATA használói egy lehetséges fals pozitív találatról küldtek értesítést: a Netfilter nevű driver-nél első pillantásra minden rendben volt, hiszen azt a Microsoft írta alá.
A Windows Vista operációs rendszer óta kötelező az operációs rendszer által futtatott kódokat tesztelniük a fejlesztőknek, és alá is kell írniuk, mielőtt a nagyközönség tömegesen elkezdi használni őket, ezzel is biztosítva az operációs rendszer stabilitását. A tanúsítvány nélküli Microsoft meghajtókat alapból nem lehet telepíteni.
A G DATA által felfedezett drivert a Microsoft valóban aláírta, de a szakemberek számára gyanús találatról közelebbi vizsgálat után kiderült, hogy egy olyan rootkit kártevőről van szó, mely egy kínai IP-címre tereli a forgalmat.
Elemzésének adatait a G DATA megosztotta a Microsoft-tal, a szoftvergyártó óriás azóta frissítette a Windows Defender szignatúra adatbázisát. A cikk írásának pillanatáig azonban nem derült ki, hogy a drivert pontosan ki és hogyan tudta aláírni, és így egy hiteles Microsoft drivernek feltüntetni.
A tanulság, hogy még olyankor is érdemes konzultálni a vírusvédelem gyártójával, amikor viszonylag biztosak vagyunk abban, hogy téves riasztásról van szó, mert az adott fájlt ismerjük, vagy az megbízható helyről származik. Tegyük meg, hogy eljuttatjuk azt a gyártónak, és a válaszáig lehetőleg ne futtassuk, ne telepítsük az állományt.