Что такое ложное срабатывание антивирусной проверки. AV-Test: Ложные срабатывания антивирусов. Корпоративные продукты: только Kaspersky справился безошибочно
Вероятность ложного срабатывания антивируса растет вместе с количеством новых угроз и сигнатур в базах антивирусного ПО. Иногда ложная тревога приводит к более плачевным последствиям, чем заражение. Специалисты по сетевой безопасности пока не нашли способ полностью исключить возможность неадекватного поведения защитных программ.
Ошибка в обновлении антивирусных баз компании McAfee, которая в четверг к масштабному сбою десятков тысяч компьютеров по всему миру, -- это, пожалуй, самый яркий пример того, насколько негативными могут быть последствия ложного срабатывания антивирусной программы. Программа приняла ключевой в работе ОС Windows XP системный процесс svchost.exe за червя, в результате чего продолжительной цикличной перезагрузке подверглись десятки тысяч компьютеров в университетах, школах, полицейских участках и компаниях США, где было установлено защитное ПО от McAfee.
McAfee -- компания-рекордсмен по части ложных тревог: по результатам тестов независимой организации av-comparatives.org, проведенных в феврале, продукт McAfee AntiVirus Plus 2010 сработал ложно 61 раз. В итоге антивирус занял 12-е место рейтинга. У прочих именитых производителей защитного ПО также случались ложные тревоги, но гораздо реже: у Symantec Norton Anti-Virus 2010 11 срабатываний; у Kaspersky Anti-Virus 2010 -- пять; у Eset NOD32 Antivirus 4.0 -- два; у бесплатного Microsoft Security Essentials -- три.
Но опасность ложных срабатываний сильно зависит от конкретной ситуации. Чаще всего ложные тревоги не приносят особого вреда компьютеру: блокируется доступ к некоторым чистым файлам, несколько замедляется и затрудняется работа машины. Для одного пользователя это незначительные и легко решаемые проблемы. Но для крупных компаний ложная тревога, приводящая к массовым нарушениям в работе компьютеров, корпоративных сетей и сайтов, -- это немалые временные, денежные и репутационные потери.
В разное время ложные срабатывания происходили практически у всех ведущих производителей антивирусного ПО.
В августе прошлого года «Антивирус Касперского» запрещал своим пользователям работать с сайтом банка HSBC, сообщая им о том, что интернет-ресурс заражен троянцем HTLM-Agent-CE. На самом деле сайт никакой угрозы не представлял, но пользователи некоторое время не могли воспользоваться услугами интернет-банкинга. Ошибку обнаружили специалисты «Лаборатории Касперского» в тот же день, когда стало известно о ложном срабатывании, но ущерб репутации банка был уже нанесен.
Ранее, в ноябре 2008 года, популярный антивирус AVG по ошибке принял файлы Adobe Flash, а также критически важный для работы Windows системный файл user32.dll за вредоносное ПО. В октябре того же года этот же антивирус определил популярный файервол CheckPoint Zone Alarm как троянскую программу. В качестве компенсации за причиненные неудобства AVG пришлось раскошелиться: пострадавшие пользователи получили бесплатную лицензию AVG на следующий год.
В средине марта 2006 года после обновления антивирусных баз своих клиентов компания Symantec примерно на семь часов заблокировала весь входящий трафик от одного из крупнейших американских интернет-провайдеров AOL. Антивирусные программы от Symantec принимали диапазон адресов этого провайдера за источники атак и блокировали трафик от них.
За неделю до этого события McAfee некоторое время ложно реагировал на программы Macromedia Flash Player и Microsoft Excel.
И это только некоторые из ошибок антивирусов, которые приводят к неприятным последствиям для антивирусных компаний и их клиентов.
Доля ложных тревог в общем объеме компьютерных угроз невелика -- единицы процентов. Однако их количество растет вместе с количеством реальных угроз. Антивирусные компании пытаются избегать подобных инцидентов, но из-за особенностей борьбы с вредоносным ПО это получается не всегда.
«Как правило, обновления любого антивирусного продукта проходят по несколько раз в день, -- объяснил сайт представитель одной из антивирусных компаний, пожелавший не называть своего имени. -- Связано это с добавлениями в базы новых записей на основе обнаружения новых вредоносных программ (или новых модификаций уже известных вирусов). Бывает, что обновления случаются несколько раз в час. Иногда происходят сбои. В частности, когда чистый файл по ошибке принимают за инфицированный. Но чаще -- когда запись для детектирования инфекции делается таким образом, что ловит еще и чистый файл. Любое обновление тестируется перед выходом соответствующей группой, досконально проверяется его работа. Но иногда происходят сбои».
«В ситуации с McAfee ложное срабатывание на системный компонент Svchost.exe вызвано тем, что многие вредоносные программы используют его для сокрытия своей активности в адресном пространстве этого системного процесса, -- рассказал сайт руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов. -- И червь Wecorl, который увидели решения McAfee после рокового обновления, не является исключением».
По мнению эксперта, в большинстве случаев ложные тревоги связаны с недоработками в технологиях тестирования сигнатурных баз перед их выпуском, а также с ошибками в эвристических алгоритмах обнаружения. Из-за этих недостатков исключить возможность появления таких угроз практически невозможно.
«Стопроцентного способа избавиться от ложных срабатываний не существует, так как сами методики тестирования программ основаны на эмпирических оценках и носят вероятностный характер, -- рассказал Александр Матросов. -- Антивирусная программа обнаруживает вредоносный файл, основываясь на некоторых фрагментах злонамеренного ПО. Например, сигнатура может включать какие-то уникальные характеристики вредоносного файла, при этом эвристические алгоритмы включают в себя свойства для целых семейств злонамеренных программ. Поэтому нет 100-процентной гарантии того, что именно эти характеристики не встретятся в легальном исполняемом файле».
Честно говоря, первые сомнения данных «исследования»
возникли у меня еще в саду «Эрмитаж», где специалисты «ЛК» с энтузиастом
рассказывали нам о том, как они создали профиль 13-тилетней девочки, и тут, представля-я-яете…
как повалилось! Педофилы и извращенцы обрушились на несчастную девочку, спустя
секунды после регистрации во «Вконтакте»!
Найти признаки порно в «Моем Мире» Mail.Ru и Одноклассниках специалистам
лаборатории Касперского не удалось. Ну, почти не удалось.
Мы решили проверить, так ли все на самом деле и создали
профиль милой девочки Сашеньки. Тоже, 13-ти лет.
Но, об этом чуть позже. Сначала о достоверности информации,
которую растиражировали СМИ.
Я (Максим Макаренков) решил
уточнить у пресс-службы ЛК несколько моментов, отослал письмо с запросом. И
почти сразу получил ответ. Привожу его (фразы выделены мной): «Максим,
доброго утра.
Вы говорите об
эксперименте, который эксперты „Лаборатории Касперского“ проводили примерно год назад
. Эксперты создали в
разных соцсетях аккаунты от лица девочки-подростка. Цель эксперимента —
выяснить, какие угрозы в соцсетях подстерегают юных пользователей. Эксперимент
продолжался примерно неделю. В ходе него „Вконтакте“ показал себя
наиболее опасной соцсетью. Помимо легкого доступа к контенту для взрослых
исследование зафиксировало:
- попытки SMS-мошенничества;
- спам;
- фишинг;
- запросы в профайл с непристойными предложениями;
- запугивание и угрозы (кибербуллинг).
Однако
хотел бы еще раз обратить внимание, что речь не идет о формальном исследовании.
Это был некий „опыт“, позволивший получить определенный срез угроз
для детей в различных социальных сетях».
У-пс. Тогда, почему слайд официальной
презентации называется «Исследование
социальных сетей»?
Почему во время презентации в саду Эрмитаж
не было уточнено, что «эксперимент» проводился год назад? Использовать данные
годичной давности для оценки состояния интернет-проектов… Я скажу мягко - у
меня это вызывает легкое недоумение.
На основании этого вывода пресса тут же
начинает выдавать в эфир вот такие сообщения:
Снова дадим слово специалистам лаборатории
Касперского. Пишет нам руководитель пресс-службы Лаборатории Касперского Юлия
Кривошеина:
«Речь идет не
о формализованном исследовании, а о недельном эксперименте, проведенным
специалистами „Лаборатории Касперского“. Данный
эксперимент не преследовал задачи определить, какая из социальных сетей
является наиболее опасной или безопасной и не может служить основой для
соответствующего вывода. Его цель заключалась лишь в том, чтобы
продемонстрировать определенный срез угроз, с которыми может столкнуться
ребенок в различных соцсетях.»
Это, конечно, замечательно. Только, почему
тогда я не встретил ни одного опровержения ложной информации, которую
распространили СМИ? Тут даже сложно привычно обвинить журналистов в
непрофессионализме. Написано «исследование», они честно написали «исследование».
Написано «выводы», они и транслировали выводы.
Специалистам же Лаборатории Касперского
горячий привет.
В этом месте должны быть выводы, но у нас они
получились настолько конспирологическими, что мы решили привести просто список определений.
А вы сами расставьте в подходящем порядке: «недобросовестность», «эксперты», «введение
в заблуждение», «подгонка под результат», «непрофессионализм».
Сашенька приходит в Мир
А что же с безопасностью? Например, с
самой безопасной сетью - Мой Мир Mail.Ru?
Мы решили проверить, и наш постоянный
автор создал аккаунт милой девочки Саши в тех же трех соцсетях.
Для аккаунтов использовались несколько реальных фотографий девушки,
полученные с разрешения ее самой и ее родителей. Настройки во всех трех
соцсетях оставлялись без изменений - никаких дополнительных ограничений, кроме
устанавливаемых самим сервисом, не было. Аккаунты привязывались при помощи мобильного
телефона и электронной почты согласно имеющимся у соцсетей требованиям.
За неделю эксперимента лишь в сети «Вконтакте» подопытной
«девочке» написал некий гражданин с непристойным предложением.
В социальной сети «Одноклассники» через несколько дней
добавиться «в друзья» попытался юный парень южноазиатского происхождения. Он
всего лишь хотел познакомиться и пообщаться. Увы, его познания в русском языке
оставляли желать лучшего.
Видеофайлов по запросу «порно» в соцсети «Мой мир»
действительно обнаружить не удается. Однако удивительно, несмотря на то, что мы
ищем при помощи аккаунта 13-летней девочки (возраст указан в профиле), нам
предлагают поискать в интернете.
Прекрасно, все - как на ладони. Серьезнейший прокол, ведь
можно было заблокировать не только поисковую выдачу, но и саму возможность
поиска.
Поиск в разделе «Видео» на «Одноклассниках» выдавал лишь
безобидные ролики. Поиск по группам привел к результатам, аналогичным «Моему
миру».
Поиск в интернете дал ту же самую страницу поисковика Mail.ru. Это крайне удивительно в связи с тем фактом, что портал
сотрудничает с «Лигой безопасного интернета» и регулярно заявляет о том, что
фильтрует поисковую выдачу. Непонятны причины, по которым в столь очевидном
случае никаких мер по ограждению ребенка от порнографии не предпринято.
Сеть «Вконтакте» по умолчанию ищет в режиме «безопасного
поиска», в котором практически невозможно найти порнографию.
Но отключить эту опцию можно одним кликом мыши.
Прелестное лукавство, ведь в тестовом профиле и так указан
возраст - 13 лет. Соглашаемся.
Получаем видеоролики, вырезанные из различных телешоу.
Следует признать, что несмотря на отсутствие откровенных сцен, такая продукция
вполне может быть приравнена к порнографии, как минимум, по уровню
художественной значимости. По факту же найти порнолики на «Вконтакте» оказывается
не очень просто.
Но, скажите, что, девочка 13-ти лет первым делом бросится
искать порно? Да, ладно!
А вот познакомиться и пообщаться она точно хочет. Поверьте
родителям с опытом.
И в МоемМире мы переходим в поиск по группам. Выбираем трогательный пункт «Знакомства и любовь».
Никакого порно искать не надо. Оно само вас тут найдет. А,
дальше, только успевай поворачиваться. И это мы не иллюстрируем еще результаты
поиска людей… Достаточно вбить слово «би», чтобы узнать много нового. Отдельно
отметим андроид-приложение МоегоМира. Там поиск людей начинает работать по мере
ввода слова. То есть, то самое «би» начинает находиться сразу же. Автоматом.
По какой-то причине модераторы «Моего мира» ничего
предосудительного в таких фотографиях не видят. Широкая общественность также
молчит, возможно, причиной тому - меньшая популярность социальной сети по
сравнению с гигантом «Вконтакте».
Впрочем, эти изображения, само собой, не имеют отношения к
знакомствам. Увы, некоторые пользователи выкладывают свои собственные
фотографии, которые, мягко говоря, вызывают вопросы. Часть из них скрыта под
грифом «18+», но, как и при поиске видео «Вконтакте», можно смело
фальсифицировать возраст, указанный в профиле.
Да и то, скрыта только часть. Мы, например, наткнулись на
аккаунт девушки, у которой возраст был указан - 3 года. А фотографии заставили
нас глубоко призадуматься.
Вспомним историю с группами детской моды во «Вконтакте». Посмотрим, что предлагает подросткам «МойМир».
Выводы) показал вещь, и так всем очевидную. Порно и «прочие радости» можно
найти в любой социальной сети.
«Вконтакт» вовсе не является самой опасной социальной сетью.
Просто у него и МоегоМира разные аудитории и обитатели этих соцсетей действуют
разными методами.
Еще один совершенно очевидный вывод - для того, чтобы
действительно понять, какие угрозы ждут пользователя в той или иной соцсети,
нужны не «эксперименты», а регулярные исследования с четкими методиками и
понятными критериями.
Правда, интересно, что ни от одной компании по безопасности
мы о результатах таких исследований не слышали?
Тут хочется передать очередной горячий привет Лиге
безопасного интернета.
Вы верите, ни один ее специалист не знает о том, что:
1. в МоемМире огромное
количество виртуалов. Например, мужчин, создающих аккаунты женщин? Что там
большое количество транссексуалов? (наберите в поиске людей ТС или TS)
2. в МоемМире множество
аккаунтов, созданных исключительно для продвижения игр или каких-либо услуг? У
таких виртуалов несколько десятков тысяч друзей, они постоянно в онлайне и
ведут активную ленту
3. в Моем Мире порно
ищут не по словам «порно» и «эротика», а по другим запросам? Как и во «Вконтакте»,
кстати.
Для того, чтобы знать, по каким, надо просто хотя бы чуть-чуть
интересоваться подростковыми субкультурами. К слову - хентай к таковым
относится вовсе не в первую очередь.
В том же «Вконтакте» можно будет наверняка найти свои подводные
течения и теневое общество. Надо лишь копнуть чуть глубже и проявить
заинтересованность в предмете. Но тогда исчезнет возможность сенсационных откровений.
Пропадет дракон, которого надо бояться, а начнется нормальная спокойная работа
с одним из проявлений жизни социума. Отношение «специалистов» из известной компании и известной
Лиги пока говорит о том, что такая работа им не нужна. Интересно, почему?
В идеальной ситуации с домашними пользователями и компаниями ложные срабатывания не должны происходить. В длительном 14-месячном тестировании немецкая антивирусная лаборатория AV-Test выяснила, какие продукты склонны прерывать активность пользователя без всякой причины, а какие являются надежными с точки зрения ложных срабатываний.
Ложное срабатывание или нет? : AV-Test протестировала 33 антивируса за 14-месячный период.
Возможно вы уже встречались с ситуацией, когда на экране всплывает красное предупреждение и воспроизводится сигнал тревоги. Эта реакция была вызвана скопированным файлом или запущенным приложением. Но что делать, если антивирус классифицирует браузер Google Chrome или системный файл Windows в качестве опасного взломщика? В этом случае пользователь столкнулся с ложноположительным результатом, который вводит в заблуждение пользователя или системного администратора.
Обнаружение безопасных и вредоносных объектов
Антивирус должен корректно обрабатывать надежные и вредоносные файлы. Для того, чтобы проверить это, лаборатория AV-Test на протяжении 14 месяцев - с января 2015 года по февраль 2016 года оценивала, как антивирусы решают данный вопрос. В общей сложности было протестировано 19 продуктов для конечных пользователей и 14 корпоративных решений.
Исследователи определили четыре тестовых задания для Юзабилити-теста, которые были сформулированы инженерами лаборатории следующим образом:
- ложные предупреждения или блокировки при посещении веб-сайтов
- ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы
- ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО
- ложные блокировки определенных действий во время установки или использовании легитимного ПО
Методика тестирования
Во всех категориях тестирования оценивалась только безопасные веб-сайты, надежные файлы и безобидные известные приложения. В конце концов в цифровом мире гораздо больше безопасных файлов, чем зараженных объектов. Вот почему все решения работают с так называемыми “белыми списками” - базами данных, которые хранят сигнатурами и хэш-значениями. Если антивирусная программа мгновенно не распознает файл, она отправляет запрос на облачный сервер, чтобы узнать, был ли файл зарегистрирован. Если информации об объекте нет в базе данных, он будет помечен как хороший или плохой.
Для того, чтобы получить действительно релевантные результаты теста, необходимо иметь большое количество безопасных данных. Лаборатория полностью выполнила все требования стандартов:
Для тестирования каждого продукта было посещено 7000 сайтов и проверено 7,7 миллионов файлов. Кроме того, 280 приложений было запущено повторно, после чего фиксировалось будет ли антивирус повторно выводить ложное оповещение и блокировать образец.
Набор из 7,7 миллионов файлов содержал все новые файлы популярных программ для разных ОС Windows от Windows 7 до Windows 10 и офисных пакетов. Если антивирус ложно классифицирует легитимный системный файл как вредоносный, данная ситуация может иметь фатальные последствия. Именно поэтому последние версии этих важных файлов всегда включаются в программу тестирования.
Потребительские продукты: некоторые антивирусы отработали идеально
Длительный юзабилити-тест потребительских продуктов : сводка показывает ложные сигналы отдельных продуктов - действительно их не так уж и много.
Несмотря на высокие требования теста и большие объемы обработанных данных, некоторые приложения совсем не выдали ошибочных срабатываний. Avira Antivirus Pro и Kaspersky Internet Security отработали безошибочно.
Еще 4 решения от Intel Security , Bitdefender , AVG и Microsoft показали менее 10 ложных срабатывания. Тем не менее, даже продукты внизу итоговой таблицы отметились далеко не катастрофическими результатами.
Сразу 5 антивирусов получили максимальные 6 баллов во всех сегментах тестирования за 14 месяцев.
- “Ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы” - худший результат показал Ahnlab V3 Internet Security - 98 ложноположительных обнаружений при общем количестве проверенных файлов в 7,7 миллионов. Процентный показатель в 0.001% является абсолютно допустимым, но есть область для улучшения.
- “Ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО” - 11 из 19 продуктов не выдали ни одного ложного срабатывания в этом испытании. 6 продуктов показали от 1 до 3 ошибочных обнаружений в 280 тестовых случаях. Только продукт K7 Computing допустил в общей сложности 10 ложных предупреждений.
- “Ложные блокировки определенных действий во время установки или использовании легитимного ПО” - даже здесь многие из 19 программ проделали отличную работу. В то время как 7 продуктов вообще ничего не заблокировали, еще 11 приложений ошибочно запретили от 1 до 6 безобидных действий. Comodo Internet Security Premium выдал 29 ложных срабатываний.
Корпоративные продукты: только Kaspersky справился безошибочно
: уровень ложных срабатываний очень низок, что на славу оценят системные администраторы.
В рамках масштабного тестирования AV-Test была проведена оценка 14 корпоративных решений с точки зрения удобство использования, а именно корректной обработки безопасных объектов. В данном испытании два решения Лаборатории Касперского: Kaspersky Endpoint Security и Kaspersky Small Office Security справились без ошибок. Тем не менее, они принимали участие только в 6 из 7 тестов.
На протяжении всего периода тестирования решения от Sophos, Intel Security и Bitdefender продемонстрировали общий уровень ошибок ниже 10. Тем не менее, все другие продукты также имели низкий уровень ложных срабатываний при сравнении с общим объемом обработанных данных.
Высокий средний балл в тесте : многие продукты, протестированные 6 или 7 раз, показали высокую эффективность и были близки к 6 баллам.
Детальная информация о результатах:
- “Ложные предупреждения или блокировки при посещении веб-сайтов” не происходили на протяжении всего испытания при посещении 7000 ресурсов.
- “Ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы” - худший результат показал F-Secure - 49 ложноположительных обнаружений при общем количестве проверенных файлов в 7,7 миллионов. Хороший результат, хотя Sophos ошибочно распознал только два файла.
- “Ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО” - 4 из 14 продуктов показали от 1 до 2 ошибочных обнаружений в 280 тестовых случаях. Данный результат должен удовлетворить системных администраторов.
- “Ложные блокировки определенных действий во время установки или использовании легитимного ПО” - в данной категории результаты хороши. В 280 тестах 8 продуктов действовали безошибочно, а еще 6 решений выдали от 1 до 5 ложных срабатывания. Для сравнения, худший потребительский продукт 29 раз ошибочно заблокировал безопасные действия.
У корпоративных решений ложных срабатываний меньше
Если объединить результаты тестирования корпоративных и потребительских продуктов, то становится ясно, что корпоративные решений генерируют меньшее количество ложных срабатываний. Тем не менее, стоит отметить, что производители, предлагающие решения для конечных пользователей и компаний имеют высокую эффективность в обоих случаях. Это справедливо для решений Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec и F-Secure.
В целом, все продукты получили высокую оценку качества с точки зрения удобства использования. В то время как лаборатория обычно вычитает несколько баллов из-за ложных срабатываний, данный шаг является строго, говоря критикой за высокий уровень производительности.
Некоторые разработчики будут всерьез озадачены, когда увидят, какие именно программы вызвали ложные срабатывания. Среди часто блокируемых приложений - Notepad++, Yahoo Messenger и WinRAR. Это далеко не экзотические приложения, а стандартное популярное ПО. Учитывая низкий уровень ложных срабатываний, производители должны в кратчайшие сроки поработать над обнаруженными ошибками.
Ежедневная загрузка новых тестовых файлов
Адреса для сообщений о ложном срабатывании антивирусов
Представьте, что Вы написали программу, безобидную, безвредную и бесплатную.
Пользуетесь ею полгода и тут Ваш любимый антивирус решил ее удалить
Или:
Вы скачали утилиту и по привычке проверяете на сервисе VirusTotal.com , Jotti или VirSCAN .
Результат: 3 из 41 ответов, что это вирус.
Имеем такие варианты:
- либо вирус новый и еще не попал в остальные базы;
- либо это ложное срабатывание.
Если Вы уверены, что это ложное срабатывание, отправляем образец в антивирусную лабораторию.
Будьте внимательны
: часто бывает 2 разных адреса форм или E-mail:
- для сообщений о новые вирусах;
- для сообщений о ложном срабатывании (именно о них речь в этой теме).
Почему возникают ложные срабатывания?
Новое вредоносное ПО появляется столь быстро, что человек не способен самостоятельно анализировать каждый случай. Доверие падает на HIPS-подобные экспертные системы, которые анализируют файл по множеству критериев в автоматическом режиме.
Такие системы могут часто выдавать ложные срабатывания на особые упаковщики, последовательности API-функций и совокупности других факторов. Некоторые ругаются просто по причине редкого использования программы и отсутствия значимой статистики по ней.
В результате ПО попадает в базы зловредов/подозрительных файлов.
Как правильно отправить программу на повторную проверку в лабораторию?
У каждого производителя антивируса есть специальные адреса электронной почты (или формы на сайте), куда можно отправить образец.
Обратите внимание
, в каждом случае очень важно прочитать правила сервиса:
- в какой тип архива упаковать образец
- какой задать пароль (обычно virus или infected)
- какую дополнительную информацию сообщить в письме. Это как правило:
- Слова: False Positive Submission
- The password for the attachment is пароль, которым зашифрован архив
360 Internet Security (Total Security) (Qihoo-360)
Почта: [email protected] (заархивировать в ZIP. Название темы: "False Positive Submission")
Форма (рус.): Отправить файл на проверку - 360 Total Security
Форма (оф.сайт): 360杀毒_样本上报 (выбрать 误报文件)
Отправка через форму в архиве формата RAR, ZIP, 7Z без шифрования. Файл должен быть менее 20 Mb.
avast!
Форма тех.поддержки: Avast Свяжитесь с нами
В самом антивирусе: на вкладке карантин.
Email: [email protected]
Упакуйте файлы в архив ZIP с паролем infected. В теме письма указать "False Positive Submission"
IKARUS
В самой программе: на вкладке карантин.
Email: [email protected]
Упакуйте файлы в архив ZIP с паролем infected. В письме укажите "False-Positive detection" и пароль к архиву.
[email protected]
Kaspersky
в zip/rar архиве с паролем "virus" либо "infected"
Форма: Kasperky Virus Desk (выберите пункт "Чист" (Clean)).
Email: [email protected] в теме письма указать "Possible false positive"
При наличии лицензии - через запрос в тех. поддержку (из-под личного/корпоративного кабинета).
Palo Alto Networks
Создать тему на форуме по этому шаблону .
Sophos
Форма: Submit a Sample
Email: [email protected]
Spybot Search & Destroy
Форма: Forensics Lab - Spybot Anti-malware and Antivirus
Email: [email protected]
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
SUPERAntiSpyware
Форум: False Positives
(или используйте специальную форму внутри самой программы)
The Hacker (TheHacker)
Email: [email protected]
(не проверен)
ThreatTrack
Форма:
Tencent
Есть только форум. Можно создать тему в этом разделе .
Для входа сперва нужно зарегистрироваться через сервис qq , выбрав Email Account.
В дальнейшем в качестве логина использовать адрес электронной почты.
Total Defense
Email: [email protected]
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Trapmine
Форма: TRAPMINE Inc. - Contact
Email: [email protected] (непроверен)
Trend Micro
Форма: Unblock Website - IP Address Re-Classification Support - Trend Micro USA
Внимание: по форме отправлять запакованным в RAR или ZIP с паролем. Пароль указывать в письме. Внутри архива файл должен иметь расширение EXE.
Форма: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (только для пользователей Trend Micro))
Имя продукта выбираем "Housecall Hosted Edition
", остальные поля - произвольные данные.
Email: [email protected] (только для пользователей Trend Micro)
Файл отправлять в архиве ZIP либо RAR с паролем "virus". Размер файла не должен превышать 50 Mb.
TrojanHunter
Email: [email protected]
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Trojan Remover/Simply Super Software
Email: [email protected]
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infectedhttps://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed
знаете адреса других антивирусов для оповещения
Производители программного обеспечения предлагают огромный выбор антивирусных программ. Антивирусы становятся всё сложнее, разработчики придумывают всё новые и новые технологии обнаружения «нежелательного ПО». Как следствие, часто возникает обратная проблема - ложные срабатывания, возникающая периодически и затрагивающая всех производителей программного обеспечения. Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний. Антивирусные компании стараются обеспечивать решение таких ошибок в кратчайшие сроки, но, тем не менее, часть пользователей успевает пострадать от каждой такой оплошности.
Комментарий предоставил технический руководитель проекта Zillya! Олег Сыч:
«Ложные срабатывания антивирусных программ — это большая головная боль всех антивирусных компаний. Зачастую удаление антивирусом какого-то полезного файла системы или используемого ПО для пользователя хуже, чем то, что антивирус пропустит какую-то троянскую программу. С целью минимизации случаев ложного срабатывания наших антивирусных продуктов, мы постоянно увеличиваем мощности тестового центра антивирусной лаборатории, в котором проходят тестирования все вирусные записи, перед тем как попасть в обновление антивирусных баз.»
Ложное срабатывание антивирусной программы является ошибочным детектированием чистых файлов как вредоносных. Такая ошибка возникает в случае, когда файл содержит участки кода или работает по алгоритму, характерному вредоносной программе. Иными словами, часть кода, содержащегося в чистом файле, похожа на код в вирусе. Эвристический анализ не всегда может распознать код вируса из-за его шифрования. В таком случае эффективным может стать запуск поведенческого анализа.
Также ложное срабатывание может произойти тогда, когда какая-либо программа выполняет действия, которые поведенческий анализатор антивируса расценивает как действия, характерные деятельности вируса. Несмотря на шифрование вируса, его действия будут проанализированы и, если они будут походить на вирусную активность, деятельность программы будет заблокирована.
Если антивирус посчитал вирусом файл редко используемой или некритичной программы, то его действия не составят большой проблемы — программу можно восстановить, сама система продолжит работу. Однако когда речь заходит о ложных срабатываниях на системные файлы, то пользователь может столкнуться с гораздо более серьезной проблемой вплоть до необходимости переустановки системы.
Антивирусная программа, ошибочно удалившая файл не очень популярной программы, который присутствует на десяти компьютерах, не причинит столько неприятностей, сколько она вызовет, удалив системный файл с десятков миллионов ПК.
Актуальность проблемы ложных срабатываний подтверждает наличие тестов на такие ошибки, которые проводят мировые лаборатории по компьютерной безопасности. Одно из таких исследований недавно провела китайская тестовая лаборатория PC Security Labs. Основной деятельностью организации является проведение регулярных тестирований программного обеспечения, обеспечивающего компьютерную безопасность, и развитие стандартов проведения таких тестирований. Последней работой этой частной независимой исследовательской организации стало проведение тестирования 33 популярных антивирусных программ на ложные срабатывания. Тестирование проводилось в двух направлениях работы антивирусов: статические срабатывания на чистые файлы и ложные срабатывания проактивной защиты. Важно, что результаты этого теста не демонстрируют качества детектирования вредоносных файлов, а только лишь показывают уровень ложных срабатываний тестируемых антивирусов.
В тесте принимали участие последние версии антивирусных программ с самыми последними обновлениями антивирусных баз.
Тестирование состояло из анализа базы чистых файлов, а также проверки блокировки процесса установки и запуска наиболее часто используемых программ. Интересные результаты показал анализ программ, запуск и использование которых чаще всего приводит к ложным срабатываниям антивирусов. Согласно отчёту, 26.32% ложных срабатываний приходится на долю программного обеспечения по работе с ценными бумагами. Детекты игровых программ занимают 21.05% ложных срабатываний. По 13.16% ложных срабатываний выдаются на программы для доступа в Интернет и медиа программы. Специализированные отраслевые и банковские программы приняли на себя по 10.53% ошибок антивирусов, а оставшиеся 5.26% приходится на долю ПО для обеспечения безопасности компьютера.
Результаты проведённого исследования лаборатория PC Security Labs представила в виде ряда наград с делением на категории: пять, четыре и три звезды. Также опубликован список продуктов, которые не получили никаких наград, поскольку имели слишком большое количество ложных срабатываний.
Наивысшую ценность представляет награда в пять звёзд, её получили антивирусные продукты с двумя или менее ложными срабатываниями. Ими стали продукты компаний BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft и Microsoft . Получение награды четыре звезды означало, что продукт дал три или четыре ложных срабатывания. Эту награду получили антивирусные решения разработчиков: NETGATE, Qihoo, Rising и Trend Micro . Ступеньку три звезды поделили между собой антивирусы разработчиков AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! и ArcaBit , они показали пять или шесть ложных срабатываний.
Также необходимо привести список программных продуктов, которые принимали участие в тестировании, но по результатам наград не получили - тест они не прошли. В списке оказались компании AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira и Coranti . Данные, полученные по результатам данного теста, будут использованы лабораторией PC Security Labs в будущих тестах программного обеспечения, популярного в китайском регионе.
