Фалшиви положителни резултати на антивирусни програми
Споделете в социалните мрежи:
Производителите на софтуер предлагат огромен избор от антивирусни програми. Антивирусите стават все по-сложни, разработчиците измислят все повече и повече нови технологии за откриване на „нежелан софтуер“. В резултат на това често възниква обратният проблем - фалшиви положителни резултати, които се появяват периодично и засягат всички производители на софтуер. Никой антивирусен разработчик не може да се похвали, че продуктът му никога не е генерирал фалшиви положителни резултати. Антивирусните компании се опитват да осигурят решения за подобни грешки възможно най-скоро, но въпреки това някои потребители успяват да страдат от всеки такъв пропуск.
Коментарът е предоставен от техническото ръководство на Zillya! Олег Сич:
„Фалшивите положителни резултати на антивирусната програма са голямо главоболие за всички антивирусни компании. Често премахването на някакъв полезен системен файл или софтуер от антивирусната програма е по-лошо за потребителя от факта, че антивирусната програма ще пропусне някакъв вид троянска програма. За да сведем до минимум случаите на фалшиви положителни резултати на нашите антивирусни продукти, ние непрекъснато увеличаваме капацитета на антивирусния лабораторен тестов център, където всички вирусни записи се тестват, преди да бъдат актуализирани с антивирусни бази данни.“
Фалшивото положително действие на антивирусната програма е грешното откриване на чисти файлове като злонамерени. Тази грешка възниква, когато файлът съдържа части от код или работи според алгоритъм, характерен за злонамерена програма. С други думи, част от кода, съдържащ се в чист файл, е подобен на кода на вирус. Евристичният анализ не винаги може да разпознае вирусния код поради неговото криптиране. В този случай може да бъде ефективно провеждането на поведенчески анализ.
Също така, фалшив положителен резултат може да възникне, когато програма извършва действия, които поведенческият анализатор на антивирусната програма счита за действия, характерни за вируса. Въпреки криптирането на вируса, неговите действия ще бъдат анализирани и ако изглеждат като вирусна активност, дейността на програмата ще бъде блокирана.
Ако антивирусната програма счита файл на рядко използвана или некритична програма за вирус, тогава нейните действия няма да бъдат голям проблем - програмата може да бъде възстановена, самата система ще продължи да работи. Въпреки това, когато става дума за фалшиви положителни резултати на системни файлове, потребителят може да се сблъска с много по-сериозен проблем, до необходимостта от преинсталиране на системата.
Антивирусна програма, която по погрешка изтрива файл на не толкова популярна програма, която присъства на десет компютъра, няма да причини толкова проблеми, колкото ще причини изтриването на системен файл от десетки милиони компютри.
Актуалността на проблема с фалшивите положителни резултати се потвърждава от наличието на тестове за такива грешки, които се извършват от световните лаборатории за компютърна сигурност. Едно такова проучване наскоро беше проведено от китайските PC Security Labs. Основната дейност на организацията е провеждане на редовно тестване на софтуер, който осигурява компютърната сигурност, както и разработване на стандарти за такова тестване. Последната работа на тази частна независима изследователска организация беше тестването на 33 популярни антивирусни програми за фалшиви положителни резултати. Тестването беше проведено в две области на антивирусна работа: статични положителни резултати за чисти файлове и фалшиви положителни резултати за проактивна защита. Важно е резултатите от този тест да не се показваткачество на откриване на злонамерени файлове, но показват само нивото на фалшиви положителни резултати на тестваните антивируси.
Тестът включваше най-новите версии на антивирусни програми с най-новите актуализации на антивирусната база данни.
Тестването се състоеше от анализиране на базата данни с чисти файлове, както и проверка на блокирането на инсталационния процес и стартирането на най-често използваните програми. Интересни резултати показа анализът на програми, чието стартиране и използване най-често води до фалшиви положителни резултати на антивируси. Според доклада 26,32% от фалшивите положителни резултати се дължат на софтуер за ценни книжа. Откриването на софтуер за игри представлява 21,05% от фалшивите положителни резултати. 13,16% от фалшивите положителни резултати са издадени за програми за достъп до интернет и медийни програми. Специализираните индустриални и банкови програми представляват по 10,53% от антивирусните грешки, докато останалите 5,26% се дължат на софтуера за компютърна сигурност.
Най-високата стойност е награда от пет звезди, която се дава на антивирусни продукти с два или по-малко фалшиви положителни резултати. Те бяха продукти на компаниитеBitDefender, MicroWorld, F-Secure, Jiangmin, KingSoftиMicrosoft. Получаването на награда с четири звезди означава, че продуктът е дал три или четири фалшиви положителни резултати. Тази награда беше присъдена на антивирусните решения отNETGATE, Qihoo, RisingиTrend Micro. Стъпката с три звезди беше споделена от разработчиците на антивирусни програмиAVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya!иArcaBit, те показаха пет или шест фалшиви положителни резултати.
Необходимо е също така да се предостави списък на софтуерните продукти, които са участвали в тестването, но не са получили награди въз основа на резултатите - те не са преминали теста. INСписъкът включваAVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, AviraиCoranti. Данните, получени от резултатите от този тест, ще бъдат използвани от PC Security Labs в бъдещи тестове на софтуер, популярен в региона на Китай.
Коментира техническият директор на проекта Zillya! Олег Сич:
„Ефективността на борбата с фалшивите положителни резултати зависи пряко от самите потребители. Нашата компания активно си сътрудничи с аудиторията на нашите продукти, като дава възможност на всеки своевременно да информира нашата антивирусна лаборатория за открит проблем, което ни позволява да минимизираме кръга от потребители, които потенциално могат да се сблъскат с този проблем.
Сред наградените продукти заслужено място зае украинската антивирусна програма Zillya!, която показа пет фалшиви положителни резултати и получи награда от три звезди въз основа на резултатите от теста. По този показател продуктът надмина редица лидери в антивирусната индустрия и по този начин демонстрира ефективността на механизмите на компанията за противодействие на фалшивите положителни резултати чрез активна комуникация с потребителската аудитория. Стремежът да се сведат до минимум случаите на фалшиви положителни резултати на антивирусния софтуер е един от настоящите вектори за развитие на развойните компании.