Valse positieven (onrechtmatige detectie van goede bestanden) blijkt te zijn toegenomen in de volledige malware sector de laatste maanden. Erger nog, er zijn meer en meer gevallen waar bestanden van concurrerende producten gedetecteerd worden. Ik heb enkel cijfers van onze eigen software die als malware wordt bekeken, maar deze zijn erg genoeg: het startte 2 jaar geleden met Pest Patrol die onze 2 bestanden cd_clint.dll en zipdll.dll detecteerden. NetCop detecteerde onze Spybots.sbi, Trend Micro PC-Cillin onze SDHelper.dll, PandaSoft omtrent onze immunisering (zeer gedreven om het probleem onmiddelijk op te lossen), en McAfee AntiSpyware onze English.sbl.

Het nieuwste voorval is Lavasoft, wiens AdAware ons hoofdapplicatiebestand, SpybotSD.exe detecteerde als malware behorend tot 180solutions. Onze onderzoekers bevestigden dat er geen vergissing mogelijk was qua bestandsnamen, groottes etc. 180solutions is tot op hun nieuwste versie fundamenteel verschillend.

Meestal proberen we deze FP's op lossen binnen de dag omdat ze onze klanten schaden en een slechte reputatie creëren zowel voor het beschuldigende als het geschonden product, en meestal is het makkelijk om met een verantwoordelijke in contact te komen. Met Lavasoft daarentegen was dit onmmogelijk - ze reageerden niet op al onze contactpogingen, noch op deze van een advocaat(update: zelfs niet binnen de week).

Volgens wat we later hebben ontdekt hebben ze dit momenteel opgelost (volgens de LavaSoft forums, in update SE1R32 10.03.2005, ondanks dat hun update announcement dit niet bevestigt).Toch, voor zij die Spybot-S&D verwijderd hebben omdat AdAware het verkeerdelijk heeft begrepen als malware, kunnen we verzekeren dat we op geen enkele manier geassocieerd zijn met 180solutions, en u kan Spybot-S&D opnieuw herinstalleren.

Vele gebruikers hebben gevraagd of we zo'n gesofisticeerde methodes gebruiken zoals AdAware doet - CSI (Code Sequence Identification) noemen ze het. Het is duidelijk dat DLA's (Drie Letter Acronymen) nooit falen om gebruikers te imponeren. We zouden een dozijn DLA's kunnen uitvinden om u te imponeren, maar verkiezen niet in het rond te strooien met marketingtermen (natuurlijk, indien gebruikers het zouden verkiezen zouden we elke Advanced check library update kunnen labelen met soortgelijke namen). Maar goed, de beste detectietechnieken doen geen goed indien de onderzoekers de database voeden met verkeerde zaken.

Wat me leidt naar een tweede punt: we denken dat al deze valse positieven van goede producten onze strategy van vier-etappes-testen van updates bevestigt . Elk van onze updates wordt eerst getest door de onderzoeker die hem toevoegt, later door ons intern test team, gevolgd door een interne test door Team Spybot en in een vierde stadium door een publieke beta test. Dit kan resulteren in een grotere vertraging tussen de updates, Maar onze updates zullen onze gebruikers tenminste niet verwarren door software die is gemaakt om hun te beschermen verkeerd te interpreteren als malware - en de klant moet koning zijn, bediend met kwaliteit.