¿Qué es un falso positivo de un análisis antivirus? AV-Test: Falsos positivos de antivirus. Productos corporativos: sólo Kaspersky lo hizo a la perfección
La probabilidad de un falso positivo antivirus aumenta junto con la cantidad de nuevas amenazas y firmas en las bases de datos de software antivirus. A veces una falsa alarma conduce a más consecuencias desastrosas que la infección. Especialistas en Seguridad de la red Aún no hemos encontrado una manera de eliminar por completo la posibilidad de un comportamiento inadecuado de los programas de seguridad.
Error en la actualización bases de datos antivirus McAfee, que el jueves provocó una caída masiva de decenas de miles de ordenadores en todo el mundo, es quizás el ejemplo más llamativo de lo negativas que pueden ser las consecuencias de un falso positivo de un programa antivirus. El programa confundió el proceso del sistema svchost.exe, clave para el funcionamiento del sistema operativo Windows XP, con un gusano, lo que provocó la destrucción de decenas de miles de ordenadores en universidades, escuelas, comisarías y empresas de Estados Unidos. donde estaba instalado el software de seguridad de McAfee fueron sometidos a reinicios cíclicos prolongados.
McAfee es una empresa que bate récords en falsas alarmas: según las pruebas realizadas por la organización independiente av-comparatives.org en febrero, McAfee AntiVirus Plus 2010 activó falsas alarmas 61 veces. Como resultado, el antivirus ocupó el puesto 12 en el ranking. Otros fabricantes de software de seguridad conocidos también tuvieron falsas alarmas, pero con mucha menos frecuencia: Symantec Norton Anti-Virus 2010 tuvo 11 alarmas; en Antivirus Kaspersky 2010 - cinco; Eset NOD32 Antivirus 4.0 tiene dos; en Microsoft gratis Esenciales de seguridad-- tres.
Pero el riesgo de falsos positivos depende en gran medida de situación específica. En la mayoría de los casos, las falsas alarmas no causan mucho daño al ordenador: se bloquea el acceso a algunos archivos limpios y el funcionamiento de la máquina se ralentiza y dificulta un poco. Para un usuario, estos son problemas menores y fácilmente solucionables. Pero para las grandes empresas, una falsa alarma que provocará una interrupción generalizada de los ordenadores. redes corporativas y sitios web, lo que significa considerables pérdidas temporales, monetarias y de reputación.
EN diferente tiempo Se produjeron falsos positivos en casi todos los principales fabricantes de software antivirus.
En agosto pasado, Kaspersky Anti-Virus prohibido a sus usuarios trabajar con el sitio web del banco HSBC, informándoles que el recurso de Internet está infectado con el troyano HTLM-Agent-CE. De hecho, el sitio no representaba ninguna amenaza, pero los usuarios no pudieron utilizar los servicios de banca por Internet durante algún tiempo. El error fue descubierto por los especialistas de Kaspersky Lab el mismo día que se conoció el falso positivo, pero el daño a la reputación del banco ya estaba hecho.
Anteriormente, en noviembre de 2008, antivirus populares AVG aceptó por error archivos Adobe Flash y también es fundamental para operación de ventanas archivo del sistema user32.dll para malware. En octubre del mismo año, el mismo antivirus identificó el popular firewall CheckPoint Zone Alarm como caballo de Troya. Como compensación por las molestias, AVG tuvo que desembolsar: los usuarios afectados recibieron licencia gratuita AVG para el próximo año.
A mediados de marzo de 2006, después de actualizar las bases de datos antivirus de sus clientes, Symantec bloqueó todos tráfico entrante de uno de los mayores proveedores de Internet estadounidenses, AOL. Los programas antivirus de Symantec tomaron el rango de direcciones de este proveedor como fuente de ataques y bloquearon su tráfico.
Una semana antes de este suceso, McAfee estuvo respondiendo falsamente a programas durante algún tiempo Flash Macromedia Reproductor y Microsoft Excel.
Y estos son sólo algunos de los errores del antivirus que acarrean consecuencias desagradables para empresas antivirus y sus clientes.
Proporción de falsas alarmas en el volumen total amenazas informáticas pequeño: un pequeño porcentaje. Sin embargo, su número crece junto con el número de amenazas reales. Las empresas de antivirus intentan evitar este tipo de incidentes, pero debido a la naturaleza de la lucha contra el malware, esto no siempre es posible.
“Por regla general, cualquier producto antivirus se actualiza varias veces al día”, explicó al sitio un representante de una de las empresas de antivirus, que no quiso dar su nombre. -- Esto se debe a la adición de nuevas entradas a la base de datos en función de la detección de nuevo malware (o nuevas modificaciones de ya existentes). virus conocidos). Sucede que las actualizaciones ocurren varias veces por hora. A veces ocurren accidentes. En particular, cuando se confunde un archivo limpio con uno infectado. Pero más a menudo, cuando una grabación para detectar una infección se realiza de tal manera que también detecta un archivo limpio. Cualquier actualización es probada antes de su lanzamiento por el grupo apropiado y su funcionamiento se verifica minuciosamente. Pero a veces las cosas salen mal".
“En la situación con McAfee, los falsos positivos en componente del sistema Svchost.exe se debe al hecho de que muchos programas maliciosos lo utilizan para ocultar su actividad en el espacio de direcciones de este proceso del sistema, - dijo al sitio Alexander Matrosov, jefe del Centro de Investigación y Análisis de Virus de ESET. "Y el gusano Wecorl, que las soluciones de McAfee detectaron después de la actualización fatal, no es una excepción".
Según el experto, en la mayoría de los casos las falsas alarmas se deben a deficiencias en las tecnologías de prueba de las bases de datos de firmas antes de su publicación, así como a errores en los algoritmos heurísticos de detección. Debido a estas deficiencias, es casi imposible eliminar la posibilidad de tales amenazas.
"No existe una forma completa de deshacerse de los falsos positivos, ya que los métodos de prueba del programa se basan en estimaciones empíricas y son de naturaleza probabilística", dijo Alexander Matrosov. -- El programa antivirus detecta un archivo malicioso basado en algunas piezas de software malicioso. Por ejemplo, una firma puede incluir algunas características únicas de un archivo malicioso, mientras que los algoritmos heurísticos incluyen propiedades para familias enteras de programas maliciosos. Por lo tanto, no existe una garantía del 100% de que estas características particulares no se encuentren en un archivo ejecutable legal”.
Sinceramente, las primeras dudas sobre los datos de la “investigación”
surgió en mi mente en el jardín del Hermitage, donde los especialistas de LK y un entusiasta
nos contaban cómo crearon el perfil de una niña de 13 años, y luego, adivina qué...
¡Cómo cayó! Pedófilos y pervertidos atacaron a la desafortunada niña, más tarde
¡segundos después de registrarse en VKontakte!
Encuentre señales de pornografía en los especialistas de "My World" Mail.Ru y Odnoklassniki
Kaspersky Lab falló. Bueno, casi no funcionó.
Decidimos comprobar si realmente todo se creó así.
perfil de una linda chica Sasha. Además, 13 años.
Pero hablaremos de eso más adelante. Primero, sobre la confiabilidad de la información,
lo cual fue replicado por los medios.
Yo (Maxim Makarenkov) decidí
Para aclarar algunos puntos con el servicio de prensa de LC, envié una carta con una solicitud. Y
Recibí una respuesta casi de inmediato. Lo cito (frases resaltadas por mí): “Maxim,
buen día.
Estás hablando de
un experimento que los expertos de Kaspersky Lab llevaron a cabo durante aproximadamente un año atrás. Expertos creados en
diferentes cuentas de redes sociales a nombre de una adolescente. El propósito del experimento es
Descubra qué amenazas acechan a los usuarios jóvenes en las redes sociales. Experimento
duró aproximadamente una semana. Durante el mismo, VKontakte se mostró
La red social más peligrosa. Además fácil acceso al contenido para adultos
el estudio registró:
- Intentos de fraude por SMS;
- correo basura;
- suplantación de identidad;
- solicitudes de perfiles con propuestas obscenas;
- intimidaciones y amenazas (cyberbullying).
Sin embargo
Me gustaría señalar una vez más que este no es un estudio formal.
Fue una especie de “experiencia” que nos permitió obtener una cierta muestra representativa de amenazas.
para niños en varias redes sociales."
Ups. Entonces ¿por qué la diapositiva es oficial?
presentación se llama “Investigación
redes sociales"?
Por qué durante la presentación en el jardín del Hermitage
¿No se especificó que el “experimento” se realizó hace un año? Usar datos
hace un año para evaluar el estado de los proyectos de Internet... Lo diré suavemente:
Esto me deja un poco desconcertado.
Basándose en esta conclusión, la prensa inmediatamente
comienza a transmitir mensajes como este:
Demos nuevamente la palabra a los especialistas del laboratorio.
Kaspersky. Nos escribe la jefa del servicio de prensa de Kaspersky Lab, Yulia
Krivosheina:
"Esto no se trata de
no se trata de un estudio formal, sino de un experimento de una semana de duración realizado
por especialistas de Kaspersky Lab. El
El experimento no pretendía determinar qué red social
es el más peligroso o seguro y no puede servir como base para
la salida correspondiente. Su objetivo era sólo
demostrar una cierta muestra representativa de amenazas que pueden encontrarse
niño en varias redes sociales”.
Esto es, por supuesto, maravilloso. Solo porque
Entonces no encontré ni una sola refutación. información falsa, cual
difundido por los medios? Aquí es incluso difícil acusar habitualmente a los periodistas de
falta de profesionalismo. Dice “investigación”, honestamente escribieron “investigación”.
Decía “conclusiones” y difundieron las conclusiones.
A los especialistas de Kaspersky Lab
cálidos saludos.
Debería haber conclusiones en este lugar, pero las tenemos.
Resultó ser tan conspirativo que decidimos dar sólo una lista de definiciones.
Y tú mismo lo pones en el orden adecuado: “mala fe”, “expertos”, “introducción”
engañoso”, “adaptación al resultado”, “falta de profesionalismo”.
Sasha viene al mundo
¿Qué pasa con la seguridad? Por ejemplo, con
mayoría red segura- Mi mundo Mail.Ru?
Decidimos comprobarlo y nuestro permanente
El autor creó una cuenta para la linda chica Sasha en las mismas tres redes sociales.
Para los relatos se utilizaron varias fotografías reales de la niña,
obtenido con el permiso de ella y de sus padres. Configuraciones en los tres
las redes sociales se dejaron sin cambios - no restricciones adicionales, excepto
no hubo ninguno instalado por el propio servicio. Las cuentas se vincularon mediante un teléfono móvil.
teléfono y Correo electrónico según los requerimientos de las redes sociales.
Durante la semana del experimento, solo en la red VKontakte el sujeto experimental
Cierto ciudadano le escribió a la “niña” con una propuesta obscena.
EN red social"Odnoklassniki" en unos días
Un joven de origen sudasiático intentó agregarlo como “amigo”. Él
Sólo quería conocerte y charlar. Por desgracia, su conocimiento del ruso
dejaba mucho que desear.
Archivos de vídeo para la petición “porno” en la red social “Mi Mundo”
Realmente no se puede encontrar. Sin embargo, sorprendentemente, a pesar de que
Buscamos una niña de 13 años que use la cuenta (la edad se indica en el perfil), nosotros
Sugieren buscar en Internet.
Genial, todo está a la vista. Al fin y al cabo, un pinchazo muy grave.
fue posible bloquear no solo Resultados de la búsqueda, pero también la oportunidad misma
buscar.
Una búsqueda en la sección "Video" sobre Odnoklassniki solo arrojó
Vídeos inofensivos. La búsqueda de grupos arrojó resultados similares a “Mi
al mundo."
Una búsqueda en Internet arrojó la misma página en el motor de búsqueda Mail.ru. Esto es sumamente sorprendente debido a que el portal
coopera con la liga internet seguro"y afirma regularmente que
filtra los resultados de la búsqueda. Las razones por las que en una situación tan obvia
En este caso, no se tomaron medidas para proteger al niño de la pornografía.
La red VKontakte busca en modo "seguro" por defecto
search", en el que es casi imposible encontrar pornografía.
Pero puedes desactivar esta opción con un solo clic.
Una picardía encantadora, porque en el perfil de prueba ya está indicado.
edad - 13 años. Estamos de acuerdo.
Recibimos videos cortados de varios programas de televisión.
Hay que admitir que a pesar de la ausencia de escenas explícitas, dicha producción
bien puede equipararse a la pornografía, al menos en términos de nivel
significado artístico. De hecho, encontrar vídeos porno en VKontakte resulta ser
no muy simple.
Pero dime una cosa, una niña de 13 años se tirará primero
buscando porno? ¡Vamos!
Pero ella definitivamente quiere conocernos y charlar. Créeme
padres con experiencia.
Y en MyWorld pasamos a la búsqueda por grupos. Elegimos el conmovedor elemento “Citas y amor”.
No es necesario buscar porno. Te encontrará aquí mismo. A,
Además, solo tienes tiempo para darte la vuelta. Y aún no ilustramos los resultados.
buscando personas... Simplemente escribe la palabra "bi" para aprender muchas cosas nuevas. Por separado
Observemos la aplicación para Android MyWorld. Allí la búsqueda de personas comienza a funcionar como
ingresando una palabra. Es decir, ese mismo “bi” empieza a encontrarse de inmediato. Automáticamente.
Por alguna razón los moderadores de “Mi Mundo” no dijeron nada
No ven nada reprensible en esas fotografías. El público en general también
guarda silencio, quizás la razón de esto sea la red social menos popular en términos de
en comparación con el gigante VKontakte.
Sin embargo, estas imágenes, por supuesto, no tienen nada que ver con
tener una cita Desafortunadamente, algunos usuarios publican los suyos.
fotografías que, por decirlo suavemente, plantean interrogantes. Algunos de ellos están escondidos debajo
estampado "18+", pero, como cuando busca videos de VKontakte, puede hacerlo de manera segura
Falsificar la edad indicada en el perfil.
Y aun así, sólo una parte está oculta. Por ejemplo, nos encontramos
el relato de una niña cuya edad se indicó como 3 años. Y las fotografías obligaron
que pensemos profundamente.
Recordemos la historia de los grupos de moda infantil en VKontakte. Veamos qué ofrece MoyMir a los adolescentes.
Conclusiones) mostró algo que ya era obvio para todos. La pornografía y “otros placeres” son posibles
encontrar en cualquier red social.
VKontakte no es en absoluto la red social más peligrosa.
Es que él y MyWorld tienen audiencias diferentes y los habitantes de estas redes sociales actúan
utilizando diferentes métodos.
Otra conclusión completamente obvia es que para
comprender realmente qué amenazas le esperan al usuario en una red social en particular,
Lo que se necesita no son “experimentos”, sino investigaciones periódicas con métodos claros y
criterios claros.
Sin embargo, es interesante que ni una sola empresa de seguridad
¿No hemos oído hablar de los resultados de tales estudios?
Desde aquí quiero transmitir otro cordial saludo a la Liga.
Internet seguro.
¿Crees que ningún especialista sabe que:
1. en MyWorld es enorme
número de virtuales. Por ejemplo, ¿los hombres crean cuentas para mujeres? Qué hay ahí
un gran número de transexuales? (escriba TS o TS en la búsqueda de personas)
2. en MyWorld hay muchos
¿Cuentas creadas únicamente para promocionar juegos o cualquier servicio? Ud.
Hay varias decenas de miles de amigos virtuales de este tipo, están constantemente en línea y
mantener un feed activo
3. en mi mundo porno
¿No buscan por las palabras “porno” y “erótica”, sino por otras consultas? Como en Vkontakte,
Por cierto.
Para saber cuáles, sólo necesitas al menos un poco
Estar interesado en las subculturas adolescentes. Por cierto - hentai para esos
no se aplica en absoluto en primer lugar.
En el mismo "VKontakte" ciertamente puedes encontrar tu submarino
Corrientes y sociedad en la sombra. Sólo necesitas profundizar un poco más y mostrar
interés en el tema. Pero entonces desaparecerá la posibilidad de revelaciones sensacionales.
El dragón al que hay que temer desaparecerá y comenzará el trabajo normal y tranquilo.
con una de las manifestaciones de la vida social. La actitud de los “especialistas” de empresa famosa y famoso
La liga hasta ahora dice que no necesitan ese trabajo. ¿Me pregunto porque?
En una situación ideal para usuarios domésticos y empresas, no deberían producirse falsos positivos. En una prueba de larga duración de 14 meses, el laboratorio antivirus alemán AV-Test descubrió qué productos tienden a interrumpir la actividad del usuario sin motivo alguno y cuáles son fiables en cuanto a falsos positivos.
Falsa alarma¿O no?: AV-Test probó 33 antivirus durante un período de 14 meses.
Es posible que ya te hayas encontrado con una situación en la que aparece una advertencia roja en la pantalla y suena una alarma. Esta reacción fue causada por un archivo copiado o aplicación en ejecución. Pero, ¿qué hacer si el antivirus clasifica? navegador de google Chrome o sistema archivo de windows¿Como un ladrón peligroso? En este caso, el usuario experimenta un falso positivo que induce a error al usuario o al administrador del sistema.
Detección de objetos benignos y maliciosos.
El antivirus debe procesar correctamente archivos fiables y maliciosos. Para comprobarlo, el laboratorio AV-Test evaluó durante 14 meses, desde enero de 2015 hasta febrero de 2016, cómo los antivirus solucionan este problema. EN total 19 productos fueron probados para los usuarios finales y 14 soluciones empresariales.
Los investigadores identificaron cuatro tareas de prueba para la prueba de usabilidad, que fueron formuladas por los ingenieros del laboratorio de la siguiente manera:
- falsas advertencias o bloqueos al visitar sitios web
- detección falsa de software legítimo como amenazas maliciosas durante el análisis del sistema
- advertencias falsas al realizar ciertas acciones durante la instalación o usar software legítimo
- bloqueo falso de ciertas acciones durante la instalación o el uso de software legítimo
Metodología de prueba
Todas las categorías de prueba evaluaron solo sitios web seguros, archivos confiables e inofensivos. aplicaciones famosas. Finalmente en mundo digital mucho más archivos seguros que los objetos infectados. Es por eso que todas las soluciones funcionan con las llamadas "listas blancas", bases de datos que almacenan firmas y valores hash. Si el programa antivirus no reconoce inmediatamente el archivo, envía una solicitud a servidor en la nube para ver si el archivo ha sido registrado. Si la información sobre un objeto no está en la base de datos, se marcará como buena o mala.
Para realmente conseguir resultados relevantes Para realizar la prueba, es necesario tener una gran cantidad de datos seguros. El laboratorio cumplió plenamente con todos los requisitos de las normas:
Para probar cada producto, se visitaron 7.000 sitios y se comprobaron 7,7 millones de archivos. Además, se reiniciaron 280 aplicaciones, después de lo cual se registró si el antivirus volvería a mostrar una alerta falsa y bloquearía la muestra.
El conjunto de 7,7 millones de archivos contenía todos los archivos nuevos de programas populares para diferentes sistemas operativos Windows, desde Windows 7 hasta Windows 10 y paquetes de oficina. Si un antivirus clasifica falsamente un archivo legítimo del sistema como malicioso, esta situación puede tener consecuencias fatales. Es por eso que Últimas Versiones estos archivos importantes siempre están incluidos en el programa de pruebas.
Productos de consumo: algunos antivirus funcionaron perfectamente
Pruebas de usabilidad a largo plazo de productos de consumo.: El resumen muestra señales falsas de productos individuales; en realidad no son tantos.
A pesar de los altos requisitos de la prueba y los grandes volúmenes de datos procesados, algunas aplicaciones no generaron ningún falso positivo. Avira Antivirus Pro y Kaspersky Internet Security funcionaron a la perfección.
Otras 4 soluciones de Intel Security, Bitdefender, AVG y Microsoft mostraron menos de 10 falsos positivos. Sin embargo, incluso los productos situados al final de la mesa final no mostraron resultados catastróficos.
5 antivirus a la vez recibió el máximo de 6 puntos en todos los segmentos de prueba durante 14 meses.
- "Falsa detección de software legítimo como amenazas maliciosas durante el análisis del sistema": Ahnlab V3 mostró el peor resultado seguridad de Internet- 98 detecciones de falsos positivos de un total de 7,7 millones de archivos analizados. Un porcentaje del 0,001% es absolutamente aceptable, pero se puede mejorar.
- “Falsas alertas al realizar determinadas acciones durante la instalación o al utilizar software legítimo”: 11 de 19 productos no generaron ni una sola falsa alarma en esta prueba. Seis productos mostraron de 1 a 3 detecciones falsas en 280 casos de prueba. Solo el producto K7 Computing produjo un total de 10 alertas falsas.
- “Bloquear falsamente ciertas acciones durante la instalación o el uso de software legítimo”; incluso en este caso, muchos de los 19 programas lo hicieron gran trabajo. Mientras que 7 productos no bloquearon nada en absoluto, otras 11 aplicaciones bloquearon incorrectamente de 1 a 6 actividades inofensivas. Comodo Internet Security Premium generó 29 falsos positivos.
Productos corporativos: sólo Kaspersky lo hizo a la perfección
: La tasa de falsos positivos es muy baja, lo que los administradores del sistema apreciarán enormemente.
En el marco de pruebas a gran escala, AV-Test evaluó 14 soluciones corporativas en términos de usabilidad, es decir, el procesamiento correcto de objetos seguros. EN esta prueba Dos soluciones de Kaspersky Lab: Kaspersky Endpoint Security y Kaspersky Small Office Security funcionaron sin errores. Sin embargo, sólo participaron en 6 de las 7 pruebas.
Durante todo el período de prueba de la solución Sophos, Seguridad Intel y Bitdefender demostraron nivel general errores por debajo de 10. Sin embargo, todos los demás productos también tenían nivel bajo falsos positivos en comparación con la cantidad total de datos procesados.
Puntaje promedio alto en las pruebas: Muchos productos probados 6 o 7 veces mostraron una alta efectividad y estuvieron cerca de los 6 puntos.
Información detallada sobre los resultados:
- No se produjeron “falsas advertencias o bloqueos al visitar sitios web” durante toda la prueba, con 7.000 sitios visitados.
- “Falsas detecciones de software legítimo como amenazas maliciosas durante los análisis del sistema”: F-Secure mostró el peor resultado: 49 detecciones de falsos positivos de un número total de archivos analizados de 7,7 millones. Buen resultado, aunque Sophos sólo reconoció incorrectamente dos archivos.
- “Falsas advertencias al realizar determinadas acciones durante la instalación o al utilizar software legítimo”: 4 de 14 productos mostraron de 1 a 2 detecciones falsas en 280 casos de prueba. Este resultado debería satisfacer a los administradores del sistema.
- "Falso bloqueo de determinadas acciones durante la instalación o el uso de software legítimo": los resultados en esta categoría son buenos. En 280 pruebas, 8 productos actuaron sin errores y otras 6 soluciones generaron entre 1 y 5 falsos positivos. En comparación, el peor producto de consumo bloqueó por error acciones seguras 29 veces.
Las soluciones corporativas tienen menos falsos positivos
Si combinamos los resultados de las pruebas de productos corporativos y de consumo, queda claro que soluciones corporativas generar menos falsos positivos. Sin embargo, cabe señalar que los fabricantes que ofrecen soluciones para usuarios finales y empresas son muy eficaces en ambos casos. Esto es válido para las soluciones de Kaspersky, Bitdefender, Microsoft, Tendencia Micro, Symantec y F-Secure.
En general, todos los productos recibieron puntuaciones de alta calidad en términos de facilidad de uso. Si bien el laboratorio normalmente deduce algunos puntos por falsos positivos, Este paso es, estrictamente hablando, una crítica a nivel alto productividad.
Algunos desarrolladores quedarán seriamente desconcertados cuando vean qué programas están causando los falsos positivos. Las aplicaciones comúnmente bloqueadas incluyen Notepad++, Yahoo Messenger y WinRAR. Estas no son aplicaciones exóticas, sino software popular estándar. Dada la baja tasa de falsos positivos, los fabricantes deberían lo antes posible trabajar en los errores detectados.
Descarga diaria de nuevos archivos de prueba.
Direcciones para reportar falsos positivos de antivirus
Imagina que has escrito un programa que es inofensivo, inofensivo y gratuito.
Llevas seis meses usándolo y luego tu antivirus favorito decide eliminarlo
O: Ha descargado la utilidad y, por costumbre, la comprueba en el servicio VirusTotal.com, Jotti o VirSCAN.
Resultado: 3 de 41 responde que es un virus.
Tenemos las siguientes opciones:
- o el virus es nuevo y aún no ha entrado en el resto de bases de datos;
- o esto es un falso positivo.
Si estás seguro de que se trata de un falso positivo, enviamos la muestra a un laboratorio antivirus.
ten cuidado: sucede a menudo 2 diferentes direcciones formularios o correo electrónico:
- para mensajes sobre nuevos virus;
- para mensajes sobre falsos positivos (de eso estamos hablando en este tema).
¿Por qué ocurren los falsos positivos?
El nuevo malware aparece tan rápidamente que los humanos no pueden analizar cada caso de forma independiente. La confianza recae en los sistemas expertos tipo HIPS que analizan un archivo en función de múltiples criterios de forma automática.
Estos sistemas a menudo pueden generar falsos positivos para envoltorios específicos, secuencias de funciones API y una combinación de otros factores. Algunas personas dicen malas palabras simplemente porque rara vez usan el programa y carecen estadísticas significativas sobre su.
Como resultado, el software termina en las bases de datos de archivos sospechosos o de malware.
Cómo enviar un programa a volver a comprobar al laboratorio?
Cada fabricante de antivirus tiene direcciones especiales correo electrónico (o formulario en el sitio web) donde podrá enviar una muestra.
nota, en cada caso es muy importante leer las reglas del servicio:
- ¿En qué tipo de archivo debo empaquetar la muestra?
- qué contraseña establecer (generalmente virus o infectado)
- cuál Información adicional informe en una carta. Esto suele ser:
- Letra: Presentación falsa positiva
- El contraseña para el archivo adjunto es contraseña utilizada para cifrar el archivo
Seguridad en Internet 360 ( Seguridad Total) (Qihoo-360)
Correo: [correo electrónico protegido](archivo en ZIP. Nombre del tema: "Envío de falso positivo")
Formulario (ruso): Enviar archivo para verificación - 360 Total Security
Formulario (sitio web de la oficina): 360杀毒_样本上报 (seleccione 误报文件)
Envío a través de un formulario en un archivo de formato RAR, ZIP, 7Z sin cifrado. El archivo debe tener un tamaño inferior a 20 Mb.
¡avast!
Formulario de soporte técnico: Avast Contáctenos
En el propio antivirus: en la pestaña de cuarentena.
Correo electrónico: [correo electrónico protegido]
Empaque los archivos en un archivo ZIP con la contraseña infectada. Indique "Envío falso positivo" en la línea de asunto del correo electrónico.
ÍCARO
En el propio programa: en la pestaña de cuarentena.
Correo electrónico: [correo electrónico protegido]
Empaque los archivos en un archivo ZIP con la contraseña infectada. En la carta, indique "Detección de falso positivo" y la contraseña del archivo.
[correo electrónico protegido]
Kaspersky en un archivo zip/rar con la contraseña "virus" o "infectado"
Formulario: Kasperky Virus Desk (seleccione “Limpiar”).
Correo electrónico: [correo electrónico protegido] Indique "Posible falso positivo" en la línea de asunto del correo electrónico.
Si tiene licencia, mediante solicitud al técnico. soporte (desde su cuenta personal/corporativa).
Redes de Palo Alto
Cree un tema de foro usando esta plantilla.
Sofos
Formulario: Enviar una muestra
Correo electrónico: [correo electrónico protegido]
Búsqueda de robot espía& Destruir
Formulario: Laboratorio forense - Spybot Anti-malware y Antivirus
Correo electrónico: [correo electrónico protegido]
V archivo zip con la contraseña "infectada" si se envía por correo, luego indique "Envío de falso positivo" en la línea de asunto de la carta.
En la propia carta indique: La contraseña del archivo adjunto está infectada
SUPERAntiSpyware
Foro: Falsos positivos
(o usar forma especial dentro del propio programa)
El hacker (El hacker)
Correo electrónico: [correo electrónico protegido]
(No verificado)
Seguimiento de amenazas
Forma:
Tencent
Sólo hay un foro. Puedes crear un tema en esta sección.
Para iniciar sesión, primero debe registrarse a través del servicio qq seleccionando Cuenta de correo electrónico.
En el futuro, utilice su dirección de correo electrónico como inicio de sesión.
Defensa total
Correo electrónico: [correo electrónico protegido]
en un archivo zip con la contraseña "infectado" si es por correo, luego indique "Envío de falso positivo" en la línea de asunto de la carta.
En la propia carta indique: La contraseña del archivo adjunto está infectada
Trampa
Forma: TRAPMINE Inc. - Contacto
Correo electrónico: [correo electrónico protegido](no probado)
Tendencia Micro
Formulario: Desbloquear sitio web - Soporte para reclasificación de direcciones IP - Trend Micro USA
Atención: envíe el formulario empaquetado en RAR o ZIP con contraseña. Por favor indique la contraseña en la carta. Dentro del archivo, el archivo debe tener una extensión EXE.
Formulario: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (solo usuarios de Trend Micro))
Seleccione el nombre del producto " Edición alojada de Housecall", los campos restantes son datos arbitrarios.
Correo electrónico: [correo electrónico protegido](Solo usuarios de Trend Micro)
Envíe el archivo en un archivo ZIP o RAR con la contraseña "virus". El tamaño del archivo no debe exceder los 50 Mb.
Cazador de troyanos
Correo electrónico: [correo electrónico protegido]
en un archivo zip con la contraseña "infectado" si es por correo, luego indique "Envío de falso positivo" en la línea de asunto de la carta.
En la propia carta indique: La contraseña del archivo adjunto está infectada
Eliminador de troyanos/Simply Super Software
Correo electrónico: [correo electrónico protegido]
en un archivo zip con la contraseña "infectado" si es por correo, luego indique "Envío de falso positivo" en la línea de asunto de la carta.
En la propia carta, indique: La contraseña del archivo adjunto está infectada https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed Conoce las direcciones de otros antivirus para recibir notificaciones
Fabricantes software oferta gran selección programas antivirus. Los antivirus son cada vez más complejos y los desarrolladores idean cada vez más tecnologías nuevas para detectar "software no deseado". Como resultado, a menudo hay problema inverso- falsos positivos, que se producen periódicamente y afectan a todos los fabricantes de software. Ningún desarrollador de antivirus puede presumir de que su producto nunca haya generado falsos positivos. Las empresas de antivirus intentan solucionar estos errores lo antes posible, pero, sin embargo, algunos usuarios logran sufrir cada uno de esos errores.
¡Comentario proporcionado por el director técnico del proyecto Zillya! Oleg Sych:
“Los falsos positivos de los programas antivirus son un gran dolor de cabeza para todas las empresas de antivirus. A menudo, la eliminación mediante algún tipo de antivirus archivo útil sistema o software utilizado es peor para el usuario que el hecho de que el antivirus pase por alto algún tipo de programa troyano. Para minimizar los casos de falsos positivos de nuestros productos antivirus, aumentamos constantemente la capacidad del centro de pruebas. laboratorio antivirus, en el que todas las entradas de virus se prueban antes de incluirlas en la actualización de la base de datos antivirus”.
Un falso positivo de un programa antivirus es una detección errónea archivos limpios como malicioso. Este error ocurre cuando el archivo contiene secciones de código o funciona según un algoritmo típico malware. En otras palabras, parte del código contenido en un archivo limpio es similar al código de un virus. Análisis heurístico no siempre puede reconocer el código del virus debido a su cifrado. En este caso, poner en marcha un análisis de comportamiento puede resultar eficaz.
Además, puede producirse un falso positivo cuando un programa realiza acciones que el analizador de comportamiento del antivirus considera acciones características de la actividad de un virus. A pesar del cifrado del virus, se analizarán sus acciones y, si se parecen actividad viral, la actividad del programa será bloqueada.
Si un antivirus considera que un archivo de un programa poco utilizado o no crítico es un virus, sus acciones no constituirán un virus. gran problema- el programa se puede restaurar, el sistema seguirá funcionando. Sin embargo, cuando se trata de falsos positivos en archivos del sistema, el usuario puede enfrentarse a un problema mucho más grave, incluida la necesidad de reinstalar el sistema.
Un programa antivirus que eliminó un archivo por error no es muy bueno programa popular, que está presente en diez computadoras, no causará tantos problemas como si eliminara un archivo del sistema de decenas de millones de PC.
La relevancia del problema de los falsos positivos se ve confirmada por la disponibilidad de pruebas para detectar tales errores, realizadas por laboratorios mundiales de seguridad informática. Uno de esos estudios fue realizado recientemente por un científico chino. laboratorio de pruebas Laboratorios de seguridad de PC. La principal actividad de la organización es realizar pruebas periódicas del software que proporciona la seguridad informática y el desarrollo de normas para dichas pruebas. Último trabajo este privado independiente organización de investigación comenzó a probar 33 programas antivirus populares en busca de falsos positivos. Las pruebas se llevaron a cabo en dos áreas de operación antivirus: positivos estáticos en archivos limpios y falsos positivos de protección proactiva. Es importante que los resultados de esta prueba no demuestren la calidad de la detección. archivos maliciosos, pero solo muestran el nivel de falsos positivos de los antivirus probados.
La prueba involucró las últimas versiones de los programas antivirus con más últimas actualizaciones bases de datos antivirus.
Las pruebas consistieron en analizar una base de datos de archivos limpios, así como comprobar que el proceso de instalación estaba bloqueado y se ejecutaban los programas más utilizados. Resultados interesantes mostró un análisis de programas cuyo lanzamiento y uso a menudo conduce a falsos positivos de antivirus. Según el informe, el 26,32% de los falsos positivos se atribuyen al software de valores. detectives programas de juego Ocupan el 21,05% de los falsos positivos. El 13,16% de los falsos positivos se emiten para programas de acceso a Internet y programas de medios. Los programas industriales y bancarios especializados representaron cada uno el 10,53% de los errores antivirus, y el 5,26% restante correspondió a programas de seguridad informática.
PC Security Labs entregó los resultados de la investigación en forma de una serie de premios divididos en categorías: cinco, cuatro y tres estrellas. También se publica una lista de productos que no recibieron ningún premio porque tuvieron demasiados falsos positivos.
El valor más alto es el premio cinco estrellas, fue recibido productos antivirus con dos o menos falsos positivos. Se convirtieron en los productos de la empresa. BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft Y microsoft. Recibir un premio de cuatro estrellas significaba que el producto generaba tres o cuatro falsos positivos. Este premio fue recibido soluciones antivirus desarrolladores: NETGATE, Qihoo, en ascenso Y Tendencia Micro. La calificación de tres estrellas fue compartida por los desarrolladores de antivirus. ¡AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! Y ArcaBit, mostraron cinco o seis falsos positivos.
También es necesario proporcionar una lista productos de software que participaron en las pruebas, pero no recibieron premios según los resultados, no pasaron la prueba. Empresas incluidas en la lista AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira Y coranti. Los datos obtenidos de esta prueba serán utilizados por PC Security Labs en futuras pruebas de software popular en la región china.
