Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Подозреваемый – не значит обвиняемый!

Прочитали: 4859 Комментариев: 130 Рейтинг: 287

Антивирус состоит из множества компонентов. Непосредственный анализ «вредоносности программ» может осуществлять антивирусное ядро (куда передаются запросы от различных компонентов), поведенческий анализатор (контролирующий работу программ на основе модели их поведения), облачные механизмы (на основе статистики работы программ у множества клиентов) и т. д.

Предположим, некая программа начала сканирование пользовательских данных или массовую обработку файлов. Что это — работа шпиона или программы по контролю за утечками? Шифровальщик или система шифрования личных данных?

Где грань между легитимной и вредоносной программами?

На антивирусных аналитиках и программистах лежит большая ответственность. Если антивирус признает вредоносным файл редко используемой или некритичной программы, это неприятно, но не смертельно: пользователь может продолжить работу, добавив программу в исключения, восстановив из Карантина или правильно ответив на запрос антивируса о появлении подозрительной программы.

Гораздо хуже, если антивирус признает вредоносными компоненты операционной системы или собственные (и подобные примеры неоднократно встречались). В этом случае компьютер может стать полностью неработоспособным. Представьте, если такое произойдет, скажем, с половиной всех компьютеров в Китае!

Почему возникают ложные срабатывания антивируса?

Тому есть много причин.

  • Растущее число вредоносных файлов не позволяет уделить их анализу достаточное время (включая изучение устройства и поведения). Выход – в использовании эвристических механизмов – специальных процедур, оценивающих опасность файлов на основе известных знаний о том или ином типе вредоносных программ. Одна запись эвристического механизма может детектировать тысячи вредоносных программ! Но в ходе разработки эвристических механизмов разработчиков поджидает ряд опасностей:
    • Работа чересчур подозрительного эвристика может вызвать ложные срабатывания — при наличии в анализируемой программе неких фрагментов кода, свойственных вредоносным программам.
    • Осторожный эвристик легко обойти. Как правило, до начала распространения вредоносной программы разработчики проверяют ее на обнаружение наиболее популярными антивирусными решениями. В результате, видоизменяя код, они добиваются «невидимости» вредоносной программы для антивируса.
  • Необходимость максимально быстрого выпуска обновлений (пользователи ждут!) также ограничивает время на разработку «лекарств» и тестирования. Естественно, тесты автоматизируются, постоянно растет число проверяемых конфигураций, но объять необъятное никак не получится.
  • Обновления легитимных программ. Увы, пользователи не всегда оперативно обновляют ПО, в то время как новые версии софта попадают в тестовые наборы.

Пользователи тоже не безгрешны. Зачастую, если антивирус предлагает нам принять решение о судьбе программы, мы делаем неверный выбор. К сожалению, программисты, которые писали подозрительную программу, могли вложить в нее не только полезные, но и вредоносные функции, причем любые. Обновления ПО, которые приводили к порче данных, случались не раз. Естественно, возникали они не по злому умыслу, но бывает и иначе: когда авторы вредоносных программ перепаковывают программы легитимные и под их видом распространяют свои «творения».

#ложное_срабатывание_антивируса #настройки_Dr.Web #корпоративная_безопасность

Dr.Web рекомендует

  1. В случае подозрения на ложное срабатывание отправьте уведомление в антивирусную лабораторию. Если вы используете решение Dr.Web, сделать это можно на странице https://vms.drweb.ru/sendvirus/?lng=ru. Укажите всю возможную информацию о подозрительной программе. Если вы скачивали и устанавливали ее самостоятельно — укажите ее источник в Интернете. Если ошибка возникает во время выполнения неких действий — опишите их. Это существенно сократит время поиска проблемы.

    Аналогичные адреса для пользователей антивирусов других разработчиков собраны на странице http://safezone.cc/threads/kuda-soobschit-o-lozhnom-srabatyvanii-antivirusa.23501.

  2. Если антивирус сообщает о возможной угрозе, рекомендуется:
    • обновить антивирус и провести полное сканирование;
    • до прояснения ситуации ограничить общение с друзьями и партнерами — они не обрадуются, если вместе с новостью о ваших проблемах им придет еще и троянец.
  3. Как правило, подозрительные программы попадают в карантин, а не удаляются (хотя, естественно, вы можете выбрать иные настройки в соответствующих разделах). Чтобы восстановить файл, попавший в Карантин, выберите в меню агента Dr.Web пункт подменю Инструменты и далее Менеджер Карантина — откроется окно, содержащее табличные данные о текущем состоянии Карантина.

    #drweb

    В окне Карантина файлы могут видеть только те пользователи, которые имеют к ним доступ. Чтобы отобразить скрытые объекты, необходимо иметь права Администратора.

    Установите флажки рядом с названиями интересующих объектов, а затем в контекстном меню объектов выберите Восстановить (переместить файл под заданным именем в нужную папку).

    Внимание! Восстанавливайте файлы, только если вы полностью уверены в их легитимности!

    Внимание! При переполнении карантина файлы, находящиеся в нем, могут удаляться. Следите за свободным местом в вашей системе.

Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний – мы не приводим примеров подобного, мы просто работаем над тем, чтобы наши технологии ошибались как можно реже!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: