Luego de la declaración que diera la empresa GFI, fabricante del antivirus Vipre en donde se afirmaba que las computadoras Samsung contenian un Keylogger; se han visto en la necesidad de disculparse ante la compañia y retractarse por el falso positivo; alegando que un directorio en lenguaje Slovenio de Windos live seria el causante de las alarmas del Antivirus Vipre lo que conllevo al magazine Network World a publicar la posibilidad de un Keylogger en las computadoras Samsung.

La detección se basa en un método de detección raramente utilizada y agresivo VIPRE, utilizando rutas de carpeta como una heurística. Nombres tales como, Äúrarely, AU, provocan la activacion y alerta, ya que este tipo de detecciones se utilizan muy poco, y cuando lo son, están sujetos a una revisión amplia y como parte del proceso de control de calidad. (Detecciones de carpeta de ruta de acceso sean realmente utilizadas por un buen número de productos antimalware, pero en general son mal vistas como una carpeta que se ve claramente como uno de malware tiene el potencial de generar sólo este tipo de resultado, AI un falso positivo.)

El directorio en cuestión era C: \ WINDOWS \ SL, y es el directorio del idioma esloveno de Windows Live. Esta ruta de directorio se utiliza el mismo por el keylogger StarLogger.

¿Cómo sucede esto? Un investigador tiene una serie de herramientas a disposición de sus detectar una pieza de malware. Estos incluyen una amplia gama de tipos de detección basados ​​en el malware en cuestión. A veces, una simple firma está muy bien, otras veces, una detección más cuidadosamente elaborado que se necesita. En VIPRE, entre algunos de los tipos de detección heurística (es decir, utilizando un método de análisis de patrones en el archivo), conductual (ver el comportamiento de un archivo en VIPRE de emulador para ver si hace algo malicioso) o basadas en firmas ( la simple creación de una firma para el archivo). Parte de la guía heurística utilizado puede ser cualquier número de tipos de análisis, y estos pueden incluir la búsqueda en el contenido del archivo de patrones específicos que indican malware. Un investigador puede también (aunque raramente) utilizar una ruta de carpeta como parte de un conjunto más amplio de detección. Imagínese que usted es un investigador: Usted ve el nombre de la carpeta “C: \ windows \ sl”. Esto es, en efecto, algo que uno nunca encontraría en un sistema Windows en el momento de escribir la detección, por lo que el investigador agregó esta ruta de carpeta a su heurística para este keylogger. Que fue revisado y probado contra una amplia gama de plataformas de Windows, incluyendo cada conjunto de lenguas extranjeras. Todo está bien salvo que en algún punto varios años después de la detección original fue escrito, Windows Live comenzó a utilizar ese directorio para instalar archivos de idioma esloveno de Windows Live. Samsung comenzó a pre-instalar Windows Live, incluyendo todas las lenguas, y allí usted tiene el problema que estamos teniendo hoy en día.

Se han disculpado con el autor Mohamed Hassan, de Samsung, así como los usuarios que pueden haber sido afectados por este falso positivo.  ademas de declarar: “Los falsos positivos ocurren, y como todas las compañías antivirus, nos esforzamos continuamente para mejorar nuestra detección, reduciendo al mismo tiempo cualquier posibilidad de un falso positivo. Éste (aunque, increíblemente vergonzoso uno) se realiza a través de nuestros procesos, y me he reunido con los altos directivos en el área de esta mañana para tratar lo que pasó y seguir mejorando nuestros procesos”