Vi o post no blog da Kaspersky falando que a declaração do Mikko Hyppönen da F-Secure sobre o tempo de resposta dos antivírus gerou discussões e respostas da McAfee.
Especialmente o cara da McAfee disse (minha ênfase):
Mikko Hyppönen is certainly picking and choosing his battles, and the figures he is quoting are from specific threats
Alguém aí tem dúvidas de que ficar criticando outros desenvolvedores de antivírus não deixa eles furiosos o suficiente para não compartilhar mais exemplares de vírus? Com certeza.
Agora, quanto aos “specific threats” (vírus específicos), eu discordo. O Mikko Hyppönen simplesmente falou de um teste do AV-Test.org, que é completamente independente e colocou companhias como a McAfee sempre atrás dos outros. E com razão.
A McAfee não lança atualizações atrasadas só porque quer ou tem pena do servidor deles, mas sim porque as grandes empresas geralmente utilizam antivírus de grandes empresas — como da McAfee e Symantec — e essas mesmas grandes empresas não vão tolerar falsos-positivos.
Por isso que eu sempre acho esses testes antivírus relativos. Tantos vírus novos foram detectados mais rapidamente, mas quantos falsos-positivos foram criados pela atualização? Lógico, o teste não tem como calcular isso, porque precisaria de todos os arquivos já criados, que muitas vezes são utilizados somente dentro de empresas e nem estão disponíveis ao público.
Some of those threats McAfee did not classify as medium risk or high risk and therefore didn’t release any emergency DATs for them.
Aí eles dão uma desculpa furada como essa, dizendo que só as pragas de risco alto é que recebem vacina rapidamente. Isso quer dizer que, só porque eu tive o azar de pegar um vírus menos conhecido — que pode ser até comum no meu país/região, como o banker — eu estou ferrado?
Pior ainda foi a outra:
If F-Secure doesn’t receive a sample of a threat until 24 hours after McAfee receives a copy, does that mean that the virus is not discovered until F-Secure receives the copy?
For instance, McAfee and Symantec detect certain families of viruses without actually needing to put out an extra DAT file.
Pelo jeito o cara nem parou pra ler os testes do AV-Test, que conta do momento que o AV-Test.org encontrou o vírus e não do momento que a F-Secure encontrou o vírus.
As grandes empresas de antivírus geralmente tem um tempo menor de resposta porque eles fazem maiores testes com os patches. Não é possível que a F-Secure ou a Kaspersky testem todos os patches que são lançados a cada 1 ou 2 horas, principalmente com a equipe pequena que eles tem. Isso não significa, claro, que haverá grandes problemas para a maioria.
Anti-spywares e anti-trojans, que tem equipes ainda menores ou talvez com menos recursos, sofrem de falsos-positivos mais freqüentes e ainda piores, como o avast! detectando um cookie como um banker, o Ad-Aware detectando o Flash e o Ewido detectando Bloco de Notas e os discadores legítimos dos provedores.
É verdade que a McAfee recentemente teve um sério problema com falsos-positivos, mas só porque você raramente vê sobre um erro de falso-positivo em outros programas, isso não significa que eles não existem, só que eles não são tão comuns e foram corrigidos antes de causar um grande estrago.
Gosto muito tanto da F-Secure e da McAfee e acredito que as duas fazem ótimos softwares antivírus. O Mikko não precisa sair falando como eles são rápidos sendo que todos os testes independentes dizem isso. E a McAfee não precisa falar de detecção heurística como se fosse só ela e a Symantec que tivessem um sistema desses (principalmente quando o SandBox da Norman é muito mais interessante).