Подозреваемый – не значит обвиняемый!
14 октября 2016
Антивирус состоит из множества компонентов. Непосредственный анализ «вредоносности программ» может осуществлять антивирусное ядро (куда передаются запросы от различных компонентов), поведенческий анализатор (контролирующий работу программ на основе модели их поведения), облачные механизмы (на основе статистики работы программ у множества клиентов) и т. д.
Предположим, некая программа начала сканирование пользовательских данных или массовую обработку файлов. Что это — работа шпиона или программы по контролю за утечками? Шифровальщик или система шифрования личных данных?
Где грань между легитимной и вредоносной программами?
На антивирусных аналитиках и программистах лежит большая ответственность. Если антивирус признает вредоносным файл редко используемой или некритичной программы, это неприятно, но не смертельно: пользователь может продолжить работу, добавив программу в исключения, восстановив из Карантина или правильно ответив на запрос антивируса о появлении подозрительной программы.
Гораздо хуже, если антивирус признает вредоносными компоненты операционной системы или собственные (и подобные примеры неоднократно встречались). В этом случае компьютер может стать полностью неработоспособным. Представьте, если такое произойдет, скажем, с половиной всех компьютеров в Китае!
Почему возникают ложные срабатывания антивируса?
Тому есть много причин.
- Растущее число вредоносных файлов не позволяет уделить их анализу достаточное время (включая изучение устройства и поведения). Выход – в использовании эвристических механизмов – специальных процедур, оценивающих опасность файлов на основе известных знаний о том или ином типе вредоносных программ. Одна запись эвристического механизма может детектировать тысячи вредоносных программ! Но в ходе разработки эвристических механизмов разработчиков поджидает ряд опасностей:
- Работа чересчур подозрительного эвристика может вызвать ложные срабатывания — при наличии в анализируемой программе неких фрагментов кода, свойственных вредоносным программам.
- Осторожный эвристик легко обойти. Как правило, до начала распространения вредоносной программы разработчики проверяют ее на обнаружение наиболее популярными антивирусными решениями. В результате, видоизменяя код, они добиваются «невидимости» вредоносной программы для антивируса.
- Необходимость максимально быстрого выпуска обновлений (пользователи ждут!) также ограничивает время на разработку «лекарств» и тестирования. Естественно, тесты автоматизируются, постоянно растет число проверяемых конфигураций, но объять необъятное никак не получится.
- Обновления легитимных программ. Увы, пользователи не всегда оперативно обновляют ПО, в то время как новые версии софта попадают в тестовые наборы.
Пользователи тоже не безгрешны. Зачастую, если антивирус предлагает нам принять решение о судьбе программы, мы делаем неверный выбор. К сожалению, программисты, которые писали подозрительную программу, могли вложить в нее не только полезные, но и вредоносные функции, причем любые. Обновления ПО, которые приводили к порче данных, случались не раз. Естественно, возникали они не по злому умыслу, но бывает и иначе: когда авторы вредоносных программ перепаковывают программы легитимные и под их видом распространяют свои «творения».
#ложное_срабатывание_антивируса #настройки_Dr.Web #корпоративная_безопасностьАнтивирусная правДА! рекомендует
В случае подозрения на ложное срабатывание отправьте уведомление в антивирусную лабораторию. Если вы используете решение Dr.Web, сделать это можно на странице https://vms.drweb.ru/sendvirus/?lng=ru. Укажите всю возможную информацию о подозрительной программе. Если вы скачивали и устанавливали ее самостоятельно — укажите ее источник в Интернете. Если ошибка возникает во время выполнения неких действий — опишите их. Это существенно сократит время поиска проблемы.
Аналогичные адреса для пользователей антивирусов других разработчиков собраны на странице http://safezone.cc/threads/kuda-soobschit-o-lozhnom-srabatyvanii-antivirusa.23501.
- Если антивирус сообщает о возможной угрозе, рекомендуется:
- обновить антивирус и провести полное сканирование;
- до прояснения ситуации ограничить общение с друзьями и партнерами — они не обрадуются, если вместе с новостью о ваших проблемах им придет еще и троянец.
Как правило, подозрительные программы попадают в карантин, а не удаляются (хотя, естественно, вы можете выбрать иные настройки в соответствующих разделах). Чтобы восстановить файл, попавший в Карантин, выберите в меню агента Dr.Web пункт подменю Инструменты и далее Менеджер Карантина — откроется окно, содержащее табличные данные о текущем состоянии Карантина.
В окне Карантина файлы могут видеть только те пользователи, которые имеют к ним доступ. Чтобы отобразить скрытые объекты, необходимо иметь права Администратора.
Установите флажки рядом с названиями интересующих объектов, а затем в контекстном меню объектов выберите Восстановить (переместить файл под заданным именем в нужную папку).
Внимание! Восстанавливайте файлы, только если вы полностью уверены в их легитимности!
Внимание! При переполнении карантина файлы, находящиеся в нем, могут удаляться. Следите за свободным местом в вашей системе.
Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний – мы не приводим примеров подобного, мы просто работаем над тем, чтобы наши технологии ошибались как можно реже!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
15:00:07 2018-07-26
Toma
18:04:39 2018-05-14
vasvet
02:53:38 2018-04-02
alex-diesel
14:33:28 2018-03-23
ka_s
19:14:46 2017-07-15
ka_s
19:14:38 2017-07-15
Natalya_2017
18:13:54 2017-03-30
eaglebuk
22:38:11 2017-02-11
Шалтай Александр Болтай
16:36:09 2017-01-24
Otvagin
18:43:24 2016-12-14
azimut
19:03:21 2016-12-09
Виктор Петрович Куликов
23:01:07 2016-11-17
Неуёмный Обыватель
01:29:43 2016-10-19
----
Работа с объектами в карантине
В режиме администратора для каждого объекта доступны следующие кнопки управления:
·Восстановить – переместить один или несколько выбранных объектов под заданным именем в нужную папку;
Примечание
Используйте данную функцию только в том случае, если вы уверены, что объект безопасен.
·Перепроверить – проверить объект, перемещенный в карантин, повторно.
·Удалить – удалить один или несколько выбранных объектов из карантина и из системы.
Эти действия доступны также в контекстом меню при нажатии правой кнопкой мыши на один или несколько выбранных объектов.
М...ч
20:49:44 2016-10-18
Ruslan
17:47:46 2016-10-17
a13x
17:46:53 2016-10-17
А по поводу карантина: если удаляешь файлы с карантина - они удаляются и с ПК? Или они удаляются из карантина - восстанавливаясь на ПК? либо я что-то упустил, либо чего-то не понимаю. Может кто подсказать?
2018
00:56:44 2016-10-17
А куча софта с торрентов.
Эту грань уловить трудно.
А как же те, что позволяют бесплатно пользоваться антивирусом.
DOKTOR
15:10:35 2016-10-16
Неуёмный Обыватель
14:19:09 2016-10-16
samos
08:47:20 2016-10-15
a13x
08:23:36 2016-10-15
Неуёмный Обыватель
00:08:26 2016-10-15
Добавлен в вирусную базу Dr.Web: 2015-02-23
Я же скачивал данный файл гораздо позже, в середине апреля 2016 года, а в 2015 году у меня даже жесткого диска этого не имелось на ПК. Притом обнаружен троян в ходе сканирования в августе 2016. Как такое может быть? Если троян был в базе на момент скачивания, разве в момент записи файла на винчестер не производится проверка? Только при попытке его запуска?
razgen
23:51:30 2016-10-14
------------------------------------------------------------------
Не стОит так скептически относиться к этому выпуску.
Считаю, что большая часть выпусков должна быть рассчитана на обучение пользователей начального и среднего уровня, какими методами пользуются злоумышленники для проникновения на наш компьютер и как грамотно противостоять этим методам, и о том, какими возможностями располагают для этого продукты Dr.Web.
Здесь я имею в ввиду не что нибудь новое, а именно азы опасностей и защиты, разъяснения как по максимуму использовать те возможности продуктов Доктор Веб, которые они имеют в данный момент.
Для опытных пользователей конечно в этом будет мало что нового. Да они и самостоятельно скорей разберутся.
krantroru
22:26:04 2016-10-14
Геральт
22:02:48 2016-10-14
Marsn77
21:08:38 2016-10-14
ТаняВ
20:41:44 2016-10-14
Dvakota
20:33:19 2016-10-14
dyadya_Sasha
20:00:03 2016-10-14
И я о том же.
@bob123456, "...Россия снова поднялась..."
Только поднимается.
@bob123456, "...испытываю ГОРДОСТЬ за свою Великую Родину..."
Я искренне рад за вас. И хочу испытывать тоже, потому что наша Родина действительно Великая, но пока испытываю смутные чувства (естественно это о настоящем), поскольку не верю в искренность чувств и намерений большинства тех, кто говорит о поднятии России. Особенно из уст тех, кто её топил и разваливал.
Voin sveta
19:56:43 2016-10-14
razgen
19:48:23 2016-10-14
bob123456
19:43:40 2016-10-14
bob123456
19:38:06 2016-10-14
dyadya_Sasha
19:27:47 2016-10-14
Одно из направлений укрепления национальной безопасности - использование собственного ПО в том числе и ОС. А тут ни популярности, ни проверенности временем...:(((( :)
dyadya_Sasha
19:22:03 2016-10-14
djabax
18:46:25 2016-10-14
Альфа
17:37:53 2016-10-14
solec
17:01:25 2016-10-14
Viktoria
16:46:51 2016-10-14
Б...а
16:46:35 2016-10-14
Luger
16:38:19 2016-10-14
bob123456
16:31:26 2016-10-14
bob123456
16:20:02 2016-10-14
Кроме этого, хочу сказать на счёт уверенности и легитимности файлов, на которые "ругается" антивирус. То, что они безопасны, могут сказать исключительно вирусные аналитики. То что они легитимные и лицензионные не означает, что они не подверглись заражению. Даже с обновлением программы можно подхватить вредонос. А то многие сначала отключают антивирус или некоторые компоненты (чтобы не мешали работать), а потом жалуются на его "плохое" качество.
Alix
16:13:51 2016-10-14
Дмитpий
13:49:41 2016-10-14
krant
13:10:06 2016-10-14
SGES
12:46:33 2016-10-14
Жизнь прожить - не мутовку облизать.
Благодарю!
DrKV
11:28:31 2016-10-14
dyadya_Sasha
11:15:13 2016-10-14
А в Китае, пожалуй, вероятность такого достаточно высокая. Вот и здесь вред монополизма проявляется. Получается, чтобы избежать подобного калапса необходимо в госструктурах, в банках и тп рассчитать ПК на первый-второй и на "первых" один антивирус ставить на "вторых" другой)))
PITONMAN
11:06:31 2016-10-14