Ложное обнаружение антивирусом простыми словами

Ложное обнаружение антивирусом простыми словами

Что означает ложное обнаружение антивирусом?

Ложное обнаружение антивирусом

Каждый день в интернете появляется множество статей и комментариев с текстом "мой ххх антивирус говорит, что программа не является безопасной". Но, несмотря на то, что в большинстве случаев такое сообщение от средств безопасности будет верным, иногда, происходит ложное обнаружение антивирусом. Чтобы понять, почему это происходит, необходимо посмотреть на то, как антивирусное программное обеспечение обнаруживает возможные угрозы. На самом деле, антивирусы используют много различных методов, но, для простоты, их можно свести к поиску по базе сигнатур (в некотором роде использование цифровой подписи) и эвристическому анализу (на основе предположений). Проверка по базе сигнатур является одним из самых надежных методов, так как если антивирус обнаружил сигнатуру вируса в программе, то с 99% вероятностью можно сказать, что в файле действительно есть вирус. Именно по этой причине, важно поддерживать базу сигнатур в актуальном состоянии.

С другой стороны, чаще всего именно методы эвристического анализа приводят к ложному обнаружению, в основном из-за невозможности учесть все возможные ситуации. В первые дни использования эвристики, часто модуль обнаружения показывал тревожное сообщение только потому, что любая из программ выполняла действия, схожие с вирусами (вернее, с заранее определенными правилами в методе), или что какой-то файл выполнял действия, нехарактерные для типа файла. К сожалению, желание распространить эвристику на все, что только возможно, иногда, приводит к парадоксальным сообщениям вида "данный сайт не имеет достаточно трафика или неизвестен". Совершенно очевидно, что большая часть относительно недавно появившегося программного обеспечения автоматически попадают в данную категорию и, как следствие, помечается, как опасное.

 

Как проявляется ложное обнаружение на практике?

Ложное обнаружение на практикеКак уже было сказано выше, если ложное обнаружение по базам сигнатур маловероятно, то эвристические методы - являются одним из основных источников. Поэтому, необходимо здраво смотреть на сообщения и не идти по пути привычки "раз антивирус сообщил". Понимание особенности программного обеспечения, которое вы запускаете, совместно с внимательным прочтением основного текста сообщения помогут вам увидеть, что, возможно, произошло ложное обнаружение. К примеру, многие малоизвестные программы безопасности требуют административных привилегий и используют "небезопасные" функции операционной системы. Поэтому, если, при запуске такой программы, антивирус сообщил о том, что файл является подозрительным, то это совершенно не обозначает, что программа в действительности заражена, хотя такое и не исключается.

На практике, ложное обнаружение может сказываться не только на запуске программ/сайтов/сервисов и доступности их функций, но и приводить к сбоям, о которых вы, скорее всего, узнаете только спустя время. К примеру, блокировка подозрительных скриптов на сайтах может приводить к ошибкам на страницах, далеко не всегда заметных (отсутствие динамически созданных элементов управления или их бездействие).

Примечание: С блокировкой скриптов на веб-сайтах так же возникает еще одна проблема. Если у вас в браузере открыто много вкладок, то понять, на какой странице был заблокирован скрипт, будет достаточно сложно. К примеру, сообщение о блокировке скрипта с одного из CDN серверов. Такое сообщение для начинающего пользователя будет сравни "где-то... что-то... почему-то...". 

Одним из эвристических методов, часто приводящих к ложному обнаружению, является анализ на основе "очков репутации". Этот метод применяется различными антивирусными компаниями, которые обещают защитить пользователей от всего, что может предоставлять опасность. Однако, некоторые из этих критериев "очень и очень" спорны, к примеру:

  • Сайт не имеет достаточного трафика. Замечательно. Если вы запустили сервис или недавно открыли сайт, то многие из ваших потенциальных посетителей пропустят ваш сайт без всякой на то причины.
  • Робот-сканер (паук) еще не проверил сайт. Чудесно. Вы открыли сайт и не занимаетесь его продвижением. Когда паук доберется до сайта?
  • Этой программы нет в базе данных. Великолепно. Большинство малоизвестных полезных программ безопасности автоматически попадают в эту категорию.

Именно из-за этих и подобных особенностей методов с красивыми названиями и описаниями, рекомендуется внимательно читать сообщения, даже если вы начинающий пользователь. Ведь, скорее всего, вы не первый, кто столкнулся с такой проблемой, и поэтому у вас всегда будет возможность найти пояснения к возникшей ситуации в интернете.

 

Как можно проверить является ли определение вируса ложным?

Как проверить ложное определение?Если вы обнаружили или считаете, что произошло ложное обнаружение антивирусом, то это не означает, что стоит просто игнорировать эти предупреждения. Лучше всего, если вы проверите программу или веб-сайт на дополнительных ресурсах. Например, можно использовать следующие три:

  • VirusTotal - веб-сайт, который позволяет проверять веб-ресурсы и файлы, размером до 128 Мб, на более 50-ти различных антивирусных средствах. Кроме того, если файл уже неоднократно проверялся, то на сайте можно так же найти дополнительную информацию, оставленную другими пользователями (комментарии и общий рейтинг)
  • URLVoid - веб-сайт, который позволяет проверять сайты на многих системах проверки веб-ресурсов, включая такие списки, как SpamhausDBL, SURBL, DrWeb, BitDefender и прочие. 
  • Zulu - веб-сайт, проверяющий страницу по указанному Url, на основе различных критериев. Проверка включает в себя так же проверку всех внешних ссылок (ссылки на другие сайты). Единственно, анализ происходит достаточно медленно, поэтому необходимо дождаться, пока вместо анимационного блока с картинками не появится итоговая оценка. 

Кроме того, вы так же можете попробовать найти информацию о возникшем сообщении, подозрительной программе или сайте на форумах поддержки вашего антивируса или на просторах интернета.  

Примечание: Тем не менее, необходимо понимать, что, вполне вероятно, что программа или веб-сайт может содержать еще не известный тип вируса.

 

Заключительные слова

Никакие проверки не смогут дать вам 100% гарантии того, что программа безопасна или произошло ложное определение. Поэтому, всегда подходите к вопросу безопасности со здравой логикой и принимайте меры предосторожности, при установке и загрузке программного обеспечения. Если у вас возникают сомнения или вас что-то смущает в программе или сайте, то лучше проверить их до использования программы или веб-ресурса, чем после.

... или в крайнем случае вы всегда можете:

Крайнее средство

Теперь, вы знаете немного большое о ложном обнаружении, а так же о способах их проверки. 

У вас есть полезная информация, которой вы хотели бы поделиться с читателями, или вы обнаружили неточность в статье? Оставьте комментарий!

☕ Понравился обзор? Поделитесь с друзьями!

Добавить комментарий / отзыв

Комментарий - это вежливое и наполненное смыслом сообщение (правила).



* Нажимая на кнопку "Отправить", Вы соглашаетесь с политикой конфиденциальности.
Присоединяйтесь
 

 

Программы (Freeware, OpenSource...)