Подозреваемый – не значит обвиняемый!

Кухня

добавить в избранное

Подозреваемый – не значит обвиняемый!

Прочитали: 7440 Комментариев: 71 Рейтинг: 298

14 октября 2016

Антивирус состоит из множества компонентов. Непосредственный анализ «вредоносности программ» может осуществлять антивирусное ядро (куда передаются запросы от различных компонентов), поведенческий анализатор (контролирующий работу программ на основе модели их поведения), облачные механизмы (на основе статистики работы программ у множества клиентов) и т. д.

Предположим, некая программа начала сканирование пользовательских данных или массовую обработку файлов. Что это — работа шпиона или программы по контролю за утечками? Шифровальщик или система шифрования личных данных?

Где грань между легитимной и вредоносной программами?

На антивирусных аналитиках и программистах лежит большая ответственность. Если антивирус признает вредоносным файл редко используемой или некритичной программы, это неприятно, но не смертельно: пользователь может продолжить работу, добавив программу в исключения, восстановив из Карантина или правильно ответив на запрос антивируса о появлении подозрительной программы.

Гораздо хуже, если антивирус признает вредоносными компоненты операционной системы или собственные (и подобные примеры неоднократно встречались). В этом случае компьютер может стать полностью неработоспособным. Представьте, если такое произойдет, скажем, с половиной всех компьютеров в Китае!

Почему возникают ложные срабатывания антивируса?

Тому есть много причин.

Растущее число вредоносных файлов не позволяет уделить их анализу достаточное время (включая изучение устройства и поведения). Выход – в использовании эвристических механизмов – специальных процедур, оценивающих опасность файлов на основе известных знаний о том или ином типе вредоносных программ. Одна запись эвристического механизма может детектировать тысячи вредоносных программ! Но в ходе разработки эвристических механизмов разработчиков поджидает ряд опасностей:
- Работа чересчур подозрительного эвристика может вызвать ложные срабатывания — при наличии в анализируемой программе неких фрагментов кода, свойственных вредоносным программам.
- Осторожный эвристик легко обойти. Как правило, до начала распространения вредоносной программы разработчики проверяют ее на обнаружение наиболее популярными антивирусными решениями. В результате, видоизменяя код, они добиваются «невидимости» вредоносной программы для антивируса.
Необходимость максимально быстрого выпуска обновлений (пользователи ждут!) также ограничивает время на разработку «лекарств» и тестирования. Естественно, тесты автоматизируются, постоянно растет число проверяемых конфигураций, но объять необъятное никак не получится.
Обновления легитимных программ. Увы, пользователи не всегда оперативно обновляют ПО, в то время как новые версии софта попадают в тестовые наборы.

Пользователи тоже не безгрешны. Зачастую, если антивирус предлагает нам принять решение о судьбе программы, мы делаем неверный выбор. К сожалению, программисты, которые писали подозрительную программу, могли вложить в нее не только полезные, но и вредоносные функции, причем любые. Обновления ПО, которые приводили к порче данных, случались не раз. Естественно, возникали они не по злому умыслу, но бывает и иначе: когда авторы вредоносных программ перепаковывают программы легитимные и под их видом распространяют свои «творения».

#ложное_срабатывание_антивируса #настройки_Dr.Web #корпоративная_безопасность

Антивирусная правДА! рекомендует

В случае подозрения на ложное срабатывание отправьте уведомление в антивирусную лабораторию. Если вы используете решение Dr.Web, сделать это можно на странице https://vms.drweb.ru/sendvirus/?lng=ru. Укажите всю возможную информацию о подозрительной программе. Если вы скачивали и устанавливали ее самостоятельно — укажите ее источник в Интернете. Если ошибка возникает во время выполнения неких действий — опишите их. Это существенно сократит время поиска проблемы.

Аналогичные адреса для пользователей антивирусов других разработчиков собраны на странице http://safezone.cc/threads/kuda-soobschit-o-lozhnom-srabatyvanii-antivirusa.23501.
Если антивирус сообщает о возможной угрозе, рекомендуется:
- обновить антивирус и провести полное сканирование;
- до прояснения ситуации ограничить общение с друзьями и партнерами — они не обрадуются, если вместе с новостью о ваших проблемах им придет еще и троянец.
Как правило, подозрительные программы попадают в карантин, а не удаляются (хотя, естественно, вы можете выбрать иные настройки в соответствующих разделах). Чтобы восстановить файл, попавший в Карантин, выберите в меню агента Dr.Web пункт подменю Инструменты и далее Менеджер Карантина — откроется окно, содержащее табличные данные о текущем состоянии Карантина.

В окне Карантина файлы могут видеть только те пользователи, которые имеют к ним доступ. Чтобы отобразить скрытые объекты, необходимо иметь права Администратора.

Установите флажки рядом с названиями интересующих объектов, а затем в контекстном меню объектов выберите Восстановить (переместить файл под заданным именем в нужную папку).

Внимание! Восстанавливайте файлы, только если вы полностью уверены в их легитимности!

Внимание! При переполнении карантина файлы, находящиеся в нем, могут удаляться. Следите за свободным местом в вашей системе.

Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний – мы не приводим примеров подобного, мы просто работаем над тем, чтобы наши технологии ошибались как можно реже!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
15:00:07 2018-07-26

Карантин необходимый компонент для любого антивируса)

Toma
18:04:39 2018-05-14

Карантин - очень полезная штука, не все нужно сразу удалять.

vasvet
02:53:38 2018-04-02

Программ и файлов стало множество, карантин помогает не уничтожить лишнее

alex-diesel Собкор
14:33:28 2018-03-23

Ложные срабатывания раздражают конечно, но во-первых, не так уж часто они происходят, а во-вторых, лучше перестраховаться, учитывая изобретательность и плодовитость вирусописателей и то, что вредный эффект эти дряни могут осуществлять работая группами внешне безобидных приложений.

ka_s
19:14:46 2017-07-15

Полностью согласен с выводом: "Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний". Однако, считаю, что пусть меня лишний раз предупредят об опасности, чем промолчат. Дальше уже сам решать буду.

ka_s
19:14:38 2017-07-15

Полностью сгласен с выводом: "Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний". Однако, считаю, что пусть меня лишний раз предупредят об опасности, чем промолчат. Дальше уже сам решать буду.

Natalya_2017
18:13:54 2017-03-30

да, отличная статья!

eaglebuk
22:38:11 2017-02-11

Доверяю Вебу

Шалтай Александр Болтай Собкор
16:36:09 2017-01-24

Суд: — Обвиняемый, что Вы делали 16 марта 1959 года в 11 ч. 42 мин.? — ...??? Я... сидел в кресле... с календарём в руках... и смотрел на часы.

Otvagin
18:43:24 2016-12-14

Очень важные рекомендации.

azimut
19:03:21 2016-12-09

Подозреваемый – не значит обвиняемый!

Виктор Петрович Куликов
23:01:07 2016-11-17

Нормальный антивирус.

Неуёмный Обыватель Собкор
01:29:43 2016-10-19

@a13x, из справки Dr.Web Security Space:
----
Работа с объектами в карантине

В режиме администратора для каждого объекта доступны следующие кнопки управления:

·Восстановить – переместить один или несколько выбранных объектов под заданным именем в нужную папку;
Примечание
Используйте данную функцию только в том случае, если вы уверены, что объект безопасен.

·Перепроверить – проверить объект, перемещенный в карантин, повторно.
·Удалить – удалить один или несколько выбранных объектов из карантина и из системы.

Эти действия доступны также в контекстом меню при нажатии правой кнопкой мыши на один или несколько выбранных объектов.

М...ч
20:49:44 2016-10-18

@a13x удаляются с пк в карантин. удаляешь с карантина - не восстановишь.

Ruslan
17:47:46 2016-10-17

Спасибо за интересный материал!

a13x Собкор
17:46:53 2016-10-17

@Неуёмный_Обыватель, в ложных срабатываниях. Когда эвристика присутствует во многих антивирусных продуктах, но Dr.Web при этом блочит всё что попадется под паучью лапу. Понимаю, что лучше перебздеть, чем недобздеть... Но всё таки поднапрягают ложные срабатывания.
А по поводу карантина: если удаляешь файлы с карантина - они удаляются и с ПК? Или они удаляются из карантина - восстанавливаясь на ПК? либо я что-то упустил, либо чего-то не понимаю. Может кто подсказать?

2018
00:56:44 2016-10-17

А вот например софт малоизвестных разработчиков - как-то ... его устанавливать.
А куча софта с торрентов.
Эту грань уловить трудно.
А как же те, что позволяют бесплатно пользоваться антивирусом.

DOKTOR
15:10:35 2016-10-16

я новичёк и в компьетере и в инете .. и в этих вирусах ...дело в том что мне установила фирма ихняя винду 10 .. и теперь .. при восстановлении системы ... нет .. не происходит восстановлении системы .. какая то ошибка выходит ... хотя когда я чищу диск там всё вроде бы нормально ...теперь я удалила cezurity antivirus scanner как бы совсем с компа .. и вы представляете себе !? удалёный сканер продолжает работать и шлёт без конца запросы на обновление ... хотя обновиться не может .. его нет в реестре программ ... вот такие у меня сложности ....

Неуёмный Обыватель Собкор
14:19:09 2016-10-16

@a13x, а в чём конкретно разочарование? В ложных срабатываниях или в карантине?

samos
08:47:20 2016-10-15

Спасибо бывает и такое.

a13x Собкор
08:23:36 2016-10-15

Печально разочаровался в Dr.Web именно с этим функционалом.

Неуёмный Обыватель Собкор
00:08:26 2016-10-15

Пользуясь напоминанием, навестил свой карантин. Перепроверил лежащий там файл. Сообщает, что он заражен Trojan.DownLoader12.30533. Только вот какой вопрос. В вирусной базе DrWeb написано, что он:
Добавлен в вирусную базу Dr.Web: 2015-02-23
Я же скачивал данный файл гораздо позже, в середине апреля 2016 года, а в 2015 году у меня даже жесткого диска этого не имелось на ПК. Притом обнаружен троян в ходе сканирования в августе 2016. Как такое может быть? Если троян был в базе на момент скачивания, разве в момент записи файла на винчестер не производится проверка? Только при попытке его запуска?

razgen Собкор
23:51:30 2016-10-14

@ТаняВ,:"В общем, ничего нового не сказано. Тем более про кухню."
------------------------------------------------------------------

Не стОит так скептически относиться к этому выпуску.
Считаю, что большая часть выпусков должна быть рассчитана на обучение пользователей начального и среднего уровня, какими методами пользуются злоумышленники для проникновения на наш компьютер и как грамотно противостоять этим методам, и о том, какими возможностями располагают для этого продукты Dr.Web.
Здесь я имею в ввиду не что нибудь новое, а именно азы опасностей и защиты, разъяснения как по максимуму использовать те возможности продуктов Доктор Веб, которые они имеют в данный момент.
Для опытных пользователей конечно в этом будет мало что нового. Да они и самостоятельно скорей разберутся.

krantroru
22:26:04 2016-10-14

Dr.Web ошибается редко.

Геральт Собкор
22:02:48 2016-10-14

Интересно!!!

Marsn77
21:08:38 2016-10-14

Drweb я бы сказал спасибо, за четыре года использования явных ложных срабатываний я не встречал. Использую стандартные настройки

ТаняВ
20:41:44 2016-10-14

В общем, ничего нового не сказано. Тем более про кухню.

Dvakota
20:33:19 2016-10-14

Меньше ложных срабатываний !

dyadya_Sasha Собкор
20:00:03 2016-10-14

@bob123456, "...Сами мы и виноваты..."
И я о том же.
@bob123456, "...Россия снова поднялась..."
Только поднимается.
@bob123456, "...испытываю ГОРДОСТЬ за свою Великую Родину..."
Я искренне рад за вас. И хочу испытывать тоже, потому что наша Родина действительно Великая, но пока испытываю смутные чувства (естественно это о настоящем), поскольку не верю в искренность чувств и намерений большинства тех, кто говорит о поднятии России. Особенно из уст тех, кто её топил и разваливал.

Voin sveta Собкор
19:56:43 2016-10-14 Именинник

Настоящая антивирусная правда! Если уж каждый человек ошибается, то что говорить о программе, призванной защищать от известных и еще неизвестных угроз! Так что как и любая программа, антивирус будет работать наиболее эффективно при правильных настройках исходя из характеристик системы и использования ПК а также при опытном, внимательном и компетентном пользователе.

razgen Собкор
19:48:23 2016-10-14

Радует, что "Доктор Веб" подозрительные файлы сразу не удаляет, а перемещает в карантин. Это позволяет в дальнейшем при более пристальном изучении перепроверить их и в случае безопасности восстановить.

bob123456 Собкор
19:43:40 2016-10-14

@dyadya_Sasha, Ну почему же? Тот же Доктор Веб, 1С-бухгалтерия - отличные примеры отечественных разработок, причём надёжных, популярных и проверенных временем. Постепенно и другое ПО подтянется вплоть до операционной системы. Я верю, что будет именно так. Это необходимо в борьбе за нашу Независимость. Да и программисты у нас лучше, талантливее.

bob123456 Собкор
19:38:06 2016-10-14

@dyadya_Sasha, Да кто же виноват? Сами мы и виноваты потому, что дали развалить Великую Страну в 90-х. Если бы не развал, то уже бы давно отечественными компьютерами пользовались с отечественным программным обеспечением. Тот же Электронмаш был сильнейшим предприятием по выпуску компьютеров. Да и на Марсе уже бы колонию основали. Одно радует, что Россия снова поднялась. Последнее время испытываю ГОРДОСТЬ за свою Великую Родину.

dyadya_Sasha Собкор
19:27:47 2016-10-14

@bob123456,"... я сторонник использования популярных, лицензионных и проверенных временем программ. Не стоит кидаться на новые (уникальные, продвинутые) супер-программы без лишней нужды..."
Одно из направлений укрепления национальной безопасности - использование собственного ПО в том числе и ОС. А тут ни популярности, ни проверенности временем...:(((( :)

dyadya_Sasha Собкор
19:22:03 2016-10-14

@bob123456, Если про монополии, то Майкрософт отличный пример, но кто виноват, что угроза национальной безопасности достигла таких размеров? Неужели только Майкрософт? Крокодил открыл свою пасть, мол жилье бесплатное и полезли все: кому интересно, кому удобно, а кто-то за компанию и пища рядом и гнездышко в дупле зуба устроить можно и от непогоды спрятаться, а то что сглотнуть может никто и не думал.))

djabax
18:46:25 2016-10-14

Критичных ложных срабатываний не припомню

Альфа
17:37:53 2016-10-14

Полезный выпуск.

solec
17:01:25 2016-10-14

При работе с лицензионными и известными программами такое почти не случается.

Viktoria
16:46:51 2016-10-14

К ложным срабатываниям отношусь спокойно.

Б...а
16:46:35 2016-10-14

Главное,что файлы из карантина можно восстановить )

Luger Собкор
16:38:19 2016-10-14

Иногда случалось.

bob123456 Собкор
16:31:26 2016-10-14

@dyadya_Sasha, То, что монополия Майкрософта - угроза национальной безопасности (в том числе и нашей), так это правда. Они могут случайно прислать плохое обновление, а могут... и не случайно. Если они "случайно" бомбят больницы и школы, то им не составит абсолютно никакого труда "случайно" парализовать все наши компьютеры. В результате чего остановится вся наша жизнедеятельность. Нельзя будет ни денег снять, ни продуктов купить, ни отчёт в налоговую отнести.

bob123456 Собкор
16:20:02 2016-10-14

А бывает и такое, что малоизвестная и сомнительная программа может нашкодить операционной системе и данным похлеще вредоносов. Так что я сторонник использования популярных, лицензионных и проверенных временем программ. Не стоит кидаться на новые (уникальные, продвинутые) супер-программы без лишней нужды. Время уже всё расставило на свои места.

Кроме этого, хочу сказать на счёт уверенности и легитимности файлов, на которые "ругается" антивирус. То, что они безопасны, могут сказать исключительно вирусные аналитики. То что они легитимные и лицензионные не означает, что они не подверглись заражению. Даже с обновлением программы можно подхватить вредонос. А то многие сначала отключают антивирус или некоторые компоненты (чтобы не мешали работать), а потом жалуются на его "плохое" качество.

Alix
16:13:51 2016-10-14

По умолчанию считаю, что ложных срабатываний не бывает. Лучше перебдеть, чем недобдеть.

Дмитpий Собкор
13:49:41 2016-10-14

Такое явление (ложные срабатывания) большая редкость. Когда случается надо относится с пониманием и знать что всё легко поправимо.

krant
13:10:06 2016-10-14

Ложное срабатывание при условии применения того, что написано в рекомендациях, - вообще не проблема. Спасибо за выпуск.

SGES Собкор
12:46:33 2016-10-14

Отличные рекомендации!
Жизнь прожить - не мутовку облизать.
Благодарю!

DrKV Собкор
11:28:31 2016-10-14

Ложные срабатывания почти не попадаются.

dyadya_Sasha Собкор
11:15:13 2016-10-14

"...Гораздо хуже, если антивирус признает вредоносными компоненты операционной системы... Представьте, если такое произойдет, скажем, с половиной всех компьютеров в Китае!..."
А в Китае, пожалуй, вероятность такого достаточно высокая. Вот и здесь вред монополизма проявляется. Получается, чтобы избежать подобного калапса необходимо в госструктурах, в банках и тп рассчитать ПК на первый-второй и на "первых" один антивирус ставить на "вторых" другой)))

PITONMAN
11:06:31 2016-10-14

В принципе я достаточно редко сталкиваюсь с ложным срабатыванием

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Подозреваемый – не значит обвиняемый!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей