Para reportar un malware no detectado por avast (y así lo puedan incluir en las siguientes definiciones de avast) hay varios métodos, de alguna manera complementarios.
Lamentablemente, los laboratorios de avast requieren de mayor información que la que se puede proporcionar en este caso, pero respondo aquí para que si el caso se presenta nuevamente, puedas intentar guardar la información necesaria.
En primer lugar, cuando es posible, se pude mandar el archivo a “cuarentena” (o el equivalente de la herramienta utilizada, sea MBAM, avast chest o lo que fuera). El archivo puede ser enviado a virustotal.com y otros sitios equivalentes para confirmar si algunos antivirus detectan al archivo como infección. Lo resultados en VT no siempre son definitivos, pero ayudan.
El archivo se puede enviar por email. Para ello, hay que crear un archivo zip (o 7z o rar o cualquier tipo de archivo de compresión conocido). A este archivo zip se le agrega el archivo peligroso / infectado y si se tiene información adicional relevante (como algún reporte de VT o un link a un topic) se agrega también un archivo de texto (readme.txt o algo así).
Una vez que se tiene el zip con la información relevante y el archivo potencialmente peligroso, hay que agregar al zip una clave (password) simple. La necesidad de la clave es para que el zip no sea eliminado del email en forma automática por los diversos sistemas de protección en los servidores de correo.
Se prepara un email, con un título relevante:
_ FP = falso positivo;
_ “Unknown malware” = malware desconocido;
_ “possible FP / unconfirmed malware” = posible falso positivo o malware no confirmado ; para el caso en que no podemos estar seguros y queremos que los laboratorios de avast lo revisen nuevamente; acaso es FP o un malware?.
_ cualquier combinación de palabras relevante que explique claramente la intención del contenido del email; recomendable en inglés.
Un título adecuado para el email acelera mucho el trámite (mejor aún en inglés, por eso lo escribí así).
En el contenido del email es indispensable indicar la clave que hemos puesto al archivo zip, y, claro, el attachment.
El destinatario será:
virus At avast d 0 t c 0 m
virus arroba avast punt0 c0m
Independientemente del email, otra alternativa muy recomendada es llenar un formulario en:
http://www.avast.com/contact-form.php?loadStyles (inglés)
http://www.avast.com/es-es/contact-form.php?loadStyles (español)
Si el archivo zip que preparamos es demasiado grande (los servidores de correo imponen un límite al tamaño de los adjuntos y/o al email completo, una posible alternativa es subirlo al FTP de avast. Para ello será necesario abrir un “new topic” en el foro, indicando el nombre del zip (por favor utilizar un nombre único, o el archivo será sobre - escrito). Se sugieren nombres del tipo nombre_de_usuario_fecha_nn.zip, siendo “nn” un número (01, 02…). El topic abierto en el subforum “Viruses and Worms” debe contener el nombre del zip y la clave utilizada para el zip, como mínimo.
La dirección del FTP es ftp://ftp.avast.com/incoming y es de “sólo-escritura”. Es decir que al subir el archivo, no veremos nada (no nos permite “leer” el contenido de la carpeta, solamente escribirla).
Hay una alternativa relativamente simple y útil, cuando puede ser utilizada. Si es posible “enviar” manualmente al archivo sospechoso al “chest” (escudo de cuarentena) de avast, desde allí puede enviarse el archivo sospechoso directo al los laboratorios de avast. Dentro del chest, hacer click sobre la linea correspondiente al archivo para abrir el menú contextual. Allí se selecciona la acción correspondiente y se sigue el procedimiento. El archivo será enviado durante la siguiente actualización de la base de datos de avast (definiciones), por lo que es necesario dejar el archivo dentro del chest de avast.
Luego de las actualizaciones de avast, se puede revisar manualmente el contenido del chest, para verificar si las definiciones detectan al nuevo malware (o para verificar si un FP es ahora correctamente identificado como limpio). La detección puede demorarse, así que es recomendable repetir la re-verificación dentro del chest cada tanto (dado que cada actualización de definiciones puede cambiar el estado de la detección), hasta que finalmente la detección cambie. Si no lo hace, para eso también sirve el topic que se abrió (además de para poder publicar la clave y anunciar que se envió un cierto archivo).
En la sección de soporte de avast hay varios artículos relativos a este tema que pueden ser de interés.