Может ли антивирус ошибаться

Обновлено: 03.07.2024

Уровень детектирования

Основной показатель качества защиты. Антивирус должен уметь распознавать максимально большое количество существующих вредоносных программ — именно в этом и состоит его работа. При этом он должен уметь распознавать новые модификации уже известных вирусов, червей и троянцев, искать их даже в упакованных файлах (модифицированных программами упаковки исполняемых файлов), проверять содержимое архивов и инсталляторов.

Но это не совсем так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Основной вопрос — от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.

К сожалению, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных программ на сегодняшний день.

Регулярность и частота обновлений

Антивирус должен регулярно обновляться — поскольку активность компьютерных злоумышленников растёт год за годом, то увеличивается как количество новых вредоносных программ, так и частота их появления. Далеко не всегда антивирусы способны остановить новые, ранее неизвестные вирусы и троянские программы проактивными методами. По этой причине антивирус должен уметь оперативно реагировать на новые вредоносные программы.

Корректное удаление вирусного кода и последствий заражения

Баланс: производительность или полноценная защита?

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Для того чтобы защищать компьютеры, антивирусным программам требуется производить некоторые действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше отъедается ресурсов компьютера (это как железная дверь: чем она толще, тем лучше защищает, однако открывать-закрывать ее становится тем сложнее, чем больше тонн металла в неё заложено). В результате появляется проблема баланса: полноценная защита или скорость работы.

Совместимость дублирующих антивирусных программ

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

Почему на внешне безобидные программы ругаются антивирусы? Стоит ли доверять на 100% антивирусным программам? Как определяются новые вредоносные программы? Что делать, если происходят ложные срабатывания антивируса? На эти и другие вопросы вы найдёте ответ в данной статье.

Раньше деревья были выше и пиво вкуснее…

Прежде всего, стоит задать вопрос, что же, собственно, такое — компьютерный вирус? Это обычная компьютерная программа, способная к самовоспроизведению. То есть, умеющая распространять и запускать свои копии. Никакой мистики. К слову, вирус совершенно необязательно должен приносить какой-то вред. Он может просто распространяться и не удалять или воровать важные данные, либо блокировать работу компьютера.

Когда-то, когда самой массовой операционной системой была DOS, компьютерные сети существовали, но не были так сильно развиты, как сейчас, проблема компьютерных вирусов существовала, но решалась достаточно просто.

Нужно было загрузить с "чистой" дискеты (это означало, что загрузочный сектор диска не содержал BOOT-вирусов) и запустить какой-нибудь антивирусный сканер: AidsTest или Dr.WEB. И после этого запускать сканирование или лечение. Обычно, программа-сканер работала достаточно быстро даже на маломощных компьютерах и, как правило, при нахождении вирусов даже "лечила" программу, которая была инфицирована вредоносным кодом.

В то время разнообразных вирусов было не такое чудовищное количество, как сейчас, да и технологии внедрения были, хотя и весьма изощрёнными, но немногочисленными. Нужно также сказать, что квалификация авторов вирусов была гораздо выше, что давало более-менее качественный код без грубых ошибок. Соответственно, и авторы антивирусов могли написать алгоритмы "лечения" инфицированных EXE и COM-программ, которые могли корректно удалить код из программы-донора, позволив ей корректно работать после исправления.

Вообще говоря, можно было обойтись и без антивируса вовсе, если строго придерживаться определённых правил и иметь резервные копии важных данных. Это правило справедливо и сейчас, однако следовать ему становится всё сложнее.

Бурное развитие IT-технологий дало мощнейшее развитие и технологиям компьютерных вирусов. Итак, что же происходит сейчас?

Наши дни

В силу большой распространённости IT-технологий уровень общей компьютерной грамотности пользователей падает. И падает с каждым годом. С одной стороны, офисные программы становятся понятнее и доступнее, а с другой, технологии работы усложняются.

Конечно, можно настроить операционную систему соответствующим образом, работать не под администратором, а под пользователем с ограниченными правами. Настроить правильным образом встроенный в Windows файрвол, придерживаться определённых правил при работе и тогда можно не бояться вирусной угрозы. Потому что лучший антивирус — это думающий пользователь. Но, как правило — это утопия.
Получается, что сделать из обычного пользователя гуру технической безопасности не представляется возможным.

С одной стороны, чем пользователю удобнее и проще работать — тем больше возможностей проникновения в компьютер вредоносного ПО. С другой стороны, превращая компьютер в бронированный дот, мы делаем невыносимой работу обычного человека, вынужденного постоянно вводить пароли, нажимать на разные кнопки в открывающихся окошках системы защиты и т.п.

Апологеты Linux могут тут злорадно улыбнуться, дескать, это в ваших Windows такое творится, у нас же вирусов вообще нет. Не хочу разводить холивары (Holy Wars), но могу возразить:

1. Windows можно настроить правильным образом. Но тогда перестают работать либо работают плохо огромное количество программ, которые были разработаны для более старых версий Windows. И эти программы работают, так как Microsoft старается выдерживать совместимость с большинством старого ПО.
2. Распространённость системы Windows в десятки, если не в сотни раз выше, чем Linux. Соответственно, и вредоносного ПО для неё создаётся больше всего. Потому что это массовая операционная система. Писать компьютерный вирус, который будет поражать 2% компьютеров, смысла не имеет.

Свято место пусто не бывает

Ситуация с доступностью и незащищённостью самой массовой операционной системы дала мощнейший толчок производителям антивирусного программного обеспечения.

Это яркий пример того, что стоить выпустить хороший удобный продукт, но понадеяться на "авось" в вопросах безопасности и дать обычному пользователю сразу после установки системы неограниченные права администратора, как компьютер будет "заражен" через 15 минут активного серфинга по всемирной паутине.

Сейчас производители антивирусов — это серьёзные компании с большим штатом специалистов. Тут не место одиночкам-энтузиастам. Обновления для антивирусов выходят с частотой до нескольких раз в сутки, а сами антивирусы превратились в огромных монстров.
Продаются хорошие антивирусы, как горячие пирожки, потому что они, по сути, выполняют работу администраторов, думают за пользователей и закрывают все возможные бреши в настройке операционных систем.

Количество вирусных сигнатур, которые определяет хороший антивирус, исчисляется десятками тысяч. Теперь антивирус — это не просто программа, которая запускается по требованию. Сейчас это целый комплекс: антивирусный монитор, работающий непрерывно и находящийся в памяти загруженным постоянно, сканер, сетевой брандмауэр и много чего ещё.

Коммунизм почему-то всё равно не наступил

Как же так? Ведь разработкой антивирусов занимаются огромные компании с большим штатом сотрудников. Тратится куча денег на новые технологии. Обновления выходят чуть ли не каждый час.. СТОП.

Что такое обновления антивирусных баз?

Если говорить простым языком — это новые способы определения новых компьютерных вирусов. То есть, злой и нехороший программист Василий Пупкин взял и написал новый вирус. И нашёл способ запустить его в Интернет, заражая компьютеры других пользователей. Самое интересное то, что этот вирус не найдёт ни один, даже самый крутой и дорогой антивирус!

Я пишу, конечно, утрированно, в реальности ситуация гораздо сложнее и есть много нюансов, о части которых ещё мы будем говорить. Но суть остаётся той же.

Абсолютно новые вирусы плохо определяют либо не определяют вообще все антивирусы

То есть, мы получаем ситуацию: распространяется новый вирус, заражается некоторое количество компьютеров, потом этот вирус спустя какое-то время попадает в руки вирусологов-исследователей. И только потом делается очередная "заплатка" к антивирусным базам. Базы обновляются на компьютерах пользователей и — вуаля, антивирус "уже" ловит новый вирус. Но вред вирус "уже" причинил.

Выходит, беря деньги с людей за подписку на обновления антивирусных баз, производители антивирусного ПО попадают в неловкую ситуацию. Да, своевременное обновление антивирусных сигнатур уменьшает скорость распространения новых вредоносных программ. Это хорошо.
Но новые вирусы — есть новые вирусы. Они сначала распространяются, и только затем их ловят. Ни один антивирус не даст гарантии защиты.

Таких гарантий просто не существует.

Ситуация патовая, впрочем, разработчики антивирусов её стараются решать.

Эвристические технологии

Суть данных технологий проста. Если создаётся вредоносная программа, то она, вероятно, будет делать какие-то определённые действия, несвойственные или мало свойственные обычной программе, которая вреда не приносит.

Значит, можно выявить некоторые закономерности, и потом, анализируя новую программу, с какой-то вероятностью решить: да, эта программа — потенциальный вирус.

Звучит очень здорово. Антивирус может поймать абсолютно новый вирус, ничего не зная о его сигнатуре. В реальности же всё намного хуже. Ключевое слово в этой технологии "вероятность". То есть, абсолютно точно сказать, что эта неизвестная программа - вирус, не может никто.
Более того, зачастую на вполне обычные программы антивирусы разных производителей ругаются, дескать, у вас гадость завелась. "Вероятно".

Пользователи же, в силу природной лени, недостаточной компьютерной грамотности, незнания основ английского языка (нужное подчеркнуть) - видят только красную табличку антивируса, в которой он сомневается, что ему делать, и просит пользователя принять (за него!) соломоново решение. Ответственность антивирус на себя брать не хочет. Мало ли, а вдруг — промах? (вероятность же). И, не читая, отправляют программу на расстрел. Антивирус же сказал, что это вирус! (а диалоговых окон мы не читаем, мы "Ок" нажимать обучены).

Итог — в лучшем случае, люди пишут в службу поддержки разработчиков софта, что, мол, ваша программа заражена вирусом. Разработчики божатся, что всё прекрасно, и пишут в службы поддержки антивирусов, доказывая, что их программы не вредоносны. И так по бесконечному кругу.

В худшем случае — софт просто удаляют, бесконечно доверяя антивирусу.

Вопрос доверия к разработчику

Согласитесь, что устанавливая для работы любую программу, вы не знаете, что в ней внутри. Это может быть чат, текстовый редактор, музыкальный проигрыватель. Что угодно. И, начиная работать с программой, человек считает, что это просто программа, которая выполняет возложенные на неё функции.

Однако, программисты, которые писали эту программу, могли вложить в неё не только полезные функции, но и вредоносные. Любые. Функции для воровства личных данных, уничтожения важных документов, получения паролей и так далее, насколько хватит фантазии.
Формально — да. На самом деле — конечно нет. Почему? Да потому что если будет зафиксирован факт деструктивных действий или воровства личных данных — доверие к разработчику программы у людей пропадёт. Его программу удалят и о данном инциденте узнает весь мир. Благо, Интернет распространён очень сильно.

Итог — испорченная репутация, проблемы с судом, отсутствие продаж, банкротство. Такой исход событий не нужен ни одному разработчику ПО. Соответственно, ни при каких условиях, разработчик коммерческого программного обеспечения не будет встраивать в свою программу вредоносный код. Это просто глупо и бессмысленно.

Доверяй, но проверяй

Итак, мы верим разработчику программы, что в его софт не встроен вредоносный код. Качаем инсталлятор с сайта и устанавливаем у себя. Как проверить, что у нас именно этот дистрибутив, который распространяет разработчик? Что в процессе закачки не произошло подмены, что у нас на компьютере после закачки активный вирус не внедрился в дистрибутив?

Для этого существует понятие контрольной суммы, например, MD5. Достаточно посчитать контрольную сумму полученного файла и сравнить её с той, которая указана на сайте разработчика. Если эти строки совпадают — то да, у нас именно тот дистрибутив, который находится у разработчика программы.

Если в дистрибутиве изменился хотя бы один байт — контрольная сумма будет другая.

Итак, если у вас есть хоть малейшие сомнения по поводу идентичности дистрибутивов — сравните контрольные суммы, это лучший способ.

А что говорят другие антивирусы?

Как правило, на компьютере если и установлен антивирус, то только один. Сами же установщики антивирусов честно предупреждают о невозможности "совместной жизни" с другими антивирусами одновременно.

Выходит, что проверить программу можно одним, двумя антивирусами, которые есть "под рукой". Но, по теории вероятности, если антивирусов больше — шанс определить вирус тоже выше.

К слову, мы сами регулярно проверяем с помощью этого сервиса дистрибутивы MyChat перед выпуском, чтобы увидеть, есть ли ложные срабатывания каких-либо антивирусов или нет, чтобы быть готовыми к возможным вопросам пользователей заранее.

Помимо самого отчёта множества антивирусов, предоставляемого сервисом, будут полезны также контрольные суммы проверяемых файлов (MD5 в том числе).

Итак, если у вас стоит антивирус и "ругается" на файл, как подозрительный, то, проверив файл ещё десятком самых популярных антивирусов, можно получить, как минимум информацию к размышлению. Ошибки эвристических анализаторов антивирусных программ, как уже писалось выше, никто не отменял.

Антивирусы против систем защиты программ

Со взломом программ сложилась очень сложная ситуация. С одной стороны, если программу не защищать — её попросту не будут покупать. Сломают и выложат на огромном количестве сайтов для свободного скачивания. Разработчик не получит с этого ни копейки, соответственно, большое количество времени, усилий и средств будет потрачено зря. Программа не принесёт прибыли. Причём, что интересно, вопрос цены тут не стоит вовсе. Не важно, сколько стоит программа, крякера как правило, это не очень интересует. Ему важен факт взлома. Вопрос нанесения ущерба непосредственно разработчику этого человека, как правило, тоже не волнует.

Следовательно, программы всё же необходимо защищать. И чем более сложной и изощрённой будет система защиты, тем сложнее и дольше её будет взламывать.

Конечно, идеальной защиты, как и идеального антивируса, нет, и быть не может. Но, как правило, надо стремиться к тому, чтобы усилия, потраченные на взлом программы, обходились дороже, чем покупка. То есть — "дешевле купить, чем сломать".

Системы защиты программ от взломщиков всегда развиваются бок о бок с антивирусами и вирусами. Так уж исторически сложилось, что для анализа программ используются отладчики. Вирусам нежелательно обнаруживать своё присутствие, поэтому они стараются всячески скрываться и пользуются всем арсеналом антиотладочных приёмов. Занимаются шифрованием своего кода, чтобы максимально усложнить жизнь вирусологам и так далее. Теми же методами пользуются и системы защиты — только они уже защищаются не от вирусологов, а от взломщиков программ.

Однако, если вирусолог отладчиком анализирует потенциальный вирус — он делает благое дело. А если тем же отладчиком пользуется крякер, чтобы обойти защиту программы — он вор.

В идеале, если система защиты достаточно хороша, анализ её отладчиком становится невозможен. И тут мы получаем ситуацию, когда антивирус, не в силах одолеть систему защиты, просто детектирует разработчика этой защиты и пишет, скажем "ThemidaPacked". И всё. Умываем руки. Формально, там может быть и полезный и вредоносный код, но антивирус этого определить не может. То есть, встаёт опять вопрос доверия к разработчику программы.

Следует учитывать, что паковать навороченной системой защиты вредоносный софт также не имеет смысла. Просто потому, что это будут, как минимум, выброшенные на ветер деньги. И немалые. Упакованную программу разработчик защиты определит очень просто, по той же контрольной сумме, которая уникальна для каждой копии системы защиты.

И разработчик программы, который решит защитить таким образом свой вредоносный код, получит, ко всем прочем финансовым потерям, ещё и потерю лицензии на систему защиты.

А значит, защищать коммерческое ПО серьёзной системой защиты, чтобы никто не узнал, что внутри есть вирус — бессмысленно.

Как сказать разработчику антивируса, что файл не заражен вирусом?

• Agnitum Outpost Antivirus — http://www.agnitum.ru/support/submit_files.php
• AVG —http://samplesubmit.avg.com/ww-en/false-detection
• Avira Antivir — http://analysis.avira.com/samples/index.php?processed=1
• Comodo Antivirus — http://www.comodo.com/home/internet-security/submit.php
• Eset NOD32 — http://www.esetnod32.ru/.support/knowledge_base/new_virus/
• Dr.WEB — https://vms.drweb.com/sendvirus/ (выбрать "категория запроса" - "ложное срабатывание")

Итак, обобщив вышесказанное в свете коммерческого программного обеспечения, стоит сказать, что:

К защите своего компьютера пользователи относятся по-разному. Кто-то устанавливает кучу антивирусных программ и приложений, кто-то ничего не устанавливает, но пользуется интернетом с умом, а кому-то плевать на какую-либо защиту.

О пользе антивирусов многим известно, но есть и другая сторона медали. Антивирусы имеют свои уязвимости, последнее время интерес к такому программному обеспечению вырос и у злоумышленников.

Подготовлено с использованием сервиса и оплаченной подписки Canva Pro Подготовлено с использованием сервиса и оплаченной подписки Canva Pro

• Хакерским атакам постоянно подвергаются различные антивирусные программы, воруются данные пользователей, воспроизводятся вредоносные коды и тому подобное. Цели атак разные, так же как и причиняемый ущерб.

Подготовлено с использованием сервиса и оплаченной подписки Canva Pro Подготовлено с использованием сервиса и оплаченной подписки Canva Pro

• Антивирусные программы излишне нагружают операционную систему, так как являются требовательными к ресурсам компьютера. Особенно сильно сказывается это на слабых (в том числе с устаревшим компьютерным железом) персональных компьютерах и ноутбуках. Антивирусы включаются с момента загрузки операционной системы, так как являются элементом автозагрузки. Постоянная дополнительная нагрузка антивирусом замедляет работу компьютера, нагружает лишними операциями систему и тратить ресурсы накопителей.
• Антивирусные программы оставляют кучу "мусора" в системе, тем самым замедляя работу и тратя ресурсы компьютера.
• Антивирусы занимаются сбором данных о вас, иными словами занимаются "шпионажем". Такому программному обеспечению при установке пользователь предоставляет большое количество прав. Ваши данные, истории переписок и посещений в браузере и тому подобное может попасть третьим лицам. Ладно бесплатные, этим "грешат" и платные версии.
• При установке антивирусов к вам на компьютер могут установиться другие программы и игры, которые вам не нужны. Достаточно быстро нажимать "далее" при установке и забыть убрать "галочку". Плюс в ваш браузер могут установиться различные расширения и изменения, которые вам так же не нужны. Про назойливую рекламу и предложения о покупке платной или улучшенной Pro версии антивируса и дополнительных утилит, говорить наверное излишне.
• Многие разработчики антивирусов могут создавать "поддельные" или "тестовые" вирусы, которые якобы после установки ПО, будут обнаружены на вашем компьютере. Тем самым доказывая "эффективность" своего продукта.
• Из-за антивирусов вы можете не установить ту или иную программу, приложение или игру. Они находят какие-то уязвимости, которых на самом деле и нет. Конечно, по большей части это относится к установке пиратского софта и игр, скачанных с торента, но есть и другие "легальные" варианты, когда требуется что-то установить. Достаточно отключить антивирус, и все отлично установится и никаких вредоносных программ вы не обнаружите. Для убедительности можно проверить портативными антивирусами не требующими установки (к примеру, Dr.Web CureIt или посетить сайт для проверки VirusTotal).
• Антивирусные программы не защитят компьютер от всех угроз. Учитывать нужно, что технологии развиваются и появляются новые вредоносные программы, которые актуальны в наше время. Антивирус просто "не увидит" какую-то угрозу и позволит ей просочиться в ваш компьютер.

Подготовлено с использованием сервиса и оплаченной подписки Canva Pro Подготовлено с использованием сервиса и оплаченной подписки Canva Pro

Стоит отметить, что в заражениях вредоносными программами компьютера в большинстве случаев виноват сам пользователь. Переходят по каким-то ссылкам, регистрируются на непроверенных ресурсах, пытаются скачать неизвестные файлы, установщики, кряки и тому подобное. Пользоваться компьютером и находиться в интернете необходимо обдуманно и необязательно для этого нужен антивирус.

В наши дни операционные системы и браузеры имеют свою встроенную защиту от вредоносных программ. Достаточно поддерживать актуальные версии и устанавливать обновления. Не посещайте подозрительные сайты, не переходите по непонятным ссылкам, создавайте резервные копии, не храните на компьютерах очень важную личную информацию (последствия от кражи которой принесет вам какой-то ущерб). Сейчас очень актуальны взломы профилей в социальных сетях, от такой атаки антивирус вряд ли вас спасет.

Если пользователь имеет мало опыта работы с компьютером и интернетом, возможно антивирус ему пригодится и будет полезен. Нельзя отрицать пользу антивирусных программ, выбирать пользоваться или нет, придется каждому пользователю самостоятельно. И здесь нет правильного или неправильного решения, в обоих вариантах есть и положительные, так и отрицательные стороны.

В этой заметке я хочу рассказать о том, как решалась проблема ложного срабатывания антивирусов на наш продукт.

Если у вас таких проблем нет, но вы планируете защищать свое ПО с помощью протектора — рекомендую ознакомиться с материалом, так как скорее всего вам предстоит пройти то же самое.

Шаг 1. Сode signing

Самый эффективный способ — это подписать свои исполняемые файлы, если этого не сделать то антивирусы будут сканировать их с особым пристрастием.

Для того, чтобы убедить в важности данного шага, Александр (Rouse_) Багель любезно поделился наглядным примером. В испытуемом приложении не используется протектор, нет обращения в интернет, оно выполняет только одну функцию — считает CRC32 файлов. Сравним отчеты подписанного и неподписанного файлов:

Думаю это достаточный аргумент в пользу подписи.

Техническую сторону получения сертификата и подписывания файла описывать не буду. Я получал сертификат в startssl (подкупили ценой и русскоязычным саппортом) на физ лицо Class 1 за 100$ на два года без всякой волокиты. Для получения сертификата на ООО (Class 2) были сложности в том, том что бы найти в Москве нотариуса-адвоката который бы отправил свое мнение по электронной почте подписанное цифровой подписью Класса 2…

Одобрение антивирусов является лишь побочным плюсом подписанного ПО, основные же прелести — это повышение доверия клиентов, мол «Есть ЦП — значит не колхоз!». Так же антивирусы, файрволлы и UAC не будут предупреждать о повышенной угрозе.

Шаг 2. Гневные письма

Подписан файл или нет, но если на вирустотале (далее VT) кто-то ругается — пора писать письма. Узнать куда слать жалобы о ложном срабатывании помогают специальные списки:

Будьте готовы, что реакция вирлабовцев на обращение занимает пару недель.

Шаг 3. Автоматическая проверка VirusTotal'ом на билд сервере

Если не используется навесных защит то все просто, собрал релиз, залил на VT, отписал жалобы и все. Но в случае использования протекторов есть вариант сократить количество ложных срабатываний без отправки абуз.

Немного теории. При повторной компиляции одних и тех же исходников содержимое exe файла не меняется (кроме временных меток в заголовках). Поэтому пересборка и повторная отправка на VT ситуацию с фальшпозитивами не решит: кто ругался тот снова ругнется.

Совсем другое дело при использовании протектора (в моем случае VMProtect), который при каждой обработке файла формирует уникальную виртуальную машину (инструкции, обработчики) и соответствующий ей виртуализированный код. Эти уникальные данные могут как содержать сигнатуры какого-либо вируса, так и нет, отсюда появляется вероятность, что после повторной перезащиты антивирусы пропустят файл.

Перезащита занимает меньше времени чем ожидание ответа от вирлабовцев, но руками приходится проделывать поистине адовую рутину, ведь перезащитить 20 раз в ожидании чуда это вполне рабочий сценарий. Для автоматизации сего процесса была написана утилита VirusTotalScan, о которой пойдет речь дальше.

Используем VirusTotalScan

Интеграцию в билд сервер приведу на своем примере, для сборки используется .bat скрипт:

Из примера должно быть все понятно. По иронии, на саму программу получил одно ложное срабатывание, отписал жалобу — теперь жду пару недель решения.

Всем (и разработчикам в том числе) очень хотелось бы, чтобы антивирус работал как часы — незаметно и точно. Но, увы, это невозможно: ошибаются люди, ошибаются и используемые ими программы.

• Ложноположительное срабатывание — признание антивирусом «чистого» легитимного файла вредоносным или подозрительным.
• Ложноотрицательное срабатывание — признание антивирусом вредоносного файла легитимным, что приводит к возможности запуска вредоносных программ.

Пропуск шифровальщика — ложноотрицательное срабатывание. Блокирование важной рабочей программы — ложноположительное. Злоумышленники, разумеется, заинтересованы в росте числа ложноотрицательных срабатываний. Но они же могут быть заинтересованы и в ложноположительных!

Естественно, разработчики антивирусных решений не могут протестировать все обновления своих программ на всех существующих приложениях и их версиях. Чем и могут воспользоваться киберпреступники, сформировав вредоносную программу, сигнатуры которой, добавленные в вирусные базы, вызовут срабатывание антивируса и, как следствие, — блокирование некой системы или программы. А за этим может последовать атака злоумышленников на систему, в которой работал скомпрометированный сервис. Сложно и трудно? Однозначно. Но сегодня, когда хакеры атакуют атомные станции, а про отечественных умельцев на Западе ходят слухи, что они взламывают любой пароль одним взглядом на монитор, возможно все!

Антивирусная правДА! рекомендует

• обновите его и проведите полное сканирование;
• до прояснения ситуации ограничьте онлайн-общение с друзьями и партнерами – они не обрадуются, если вместе с новостью о ваших проблемах им придет еще и троянец.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

При любом ложном срабатывании, сразу нужно обращаться в тех.поддержку компании Доктор Веб) Ложноположительное и Ложноотрицательное срабатывание - сложновыговариваемые термины. Новые формулировки! Надо будет запомнить, в жизни пригодится. в единстве, взаимопомощи, ответственности и неравнодушии наша сила.
Объединим усилия в защите своих устройств от всякой дряни и поможем Dr.Web помогать нам.

ka_s
19:10:27 2017-07-15

Впервые встретил важное напоминание: ". ограничьте онлайн-общение с друзьями и партнерами". Оно очень-очень-очень правильное: "Не только о себе думай!"

Natalya_2017
18:14:40 2017-03-30

Шалтай Александр Болтай
16:40:59 2017-01-24

В детстве на переменах мы кидались мокрой тряпкой. Уверен, сейчас для этого есть специальная программа для айфона.

Otvagin
18:35:10 2016-12-14

Zserg
22:02:36 2016-11-17

Zserg
18:29:45 2016-11-10

М. ч
20:08:15 2016-10-19

@Argentum, бабушка 60-летняя тоже определится? Не уверен, что и "продвинутый пользователь" сможет

Argentum
12:59:46 2016-10-12

только сам, сам и сам, пользователь определится с наличием вируса. учись и будь осторожен и минёт тебя сия чаша!

Игорь
21:17:35 2016-10-10

Отчего же люди так зацаклены на вирусах? Компьютер может большее, чем его пользователь. Но все равно из практики заверяю - компьютер ничего сам не делает и антивирус только помогает - это лишь дополнение к вечно важному вопросу от WINDOWS - Вы уверены? антивирус задает еще раз вопрос - Вы уверены, что ВЫ уверены?
Поэтому срабатывание хоть положительное, хоть отрицательное - ОК или ОТМЕНА - а дальше "как повезёт"

Другой вопрос - ОСь, софт, доп. программы защиты - они имеют доступ к вашему компьютеру ПОЛНОСТЬЮ и даже ко всей вашей сети и чем больше их разновидностей - тем больше у вашего компьютера ПОЛЬЗОВАТЕЛЕЙ

только один вопрос остается - кому вы доверяете, но и к нему вас обязательно уточнят - ВЫ УВЕРЕНЫ?

2018
01:39:56 2016-10-09

Вот только чего даже установленные на разных пк "антивирусные решения" один и тот же файл считает вредоносным, а другой нет. И как раз вирустотал тоже наглядно показывает этот факт.
Так что не все одинаково определяют

razgen
17:11:28 2016-10-08

Поправка, естественно с помощью "Доктор Веб", а то ошибочно как-то частица не вклинилась в предыдущем комментарии.

razgen
17:08:27 2016-10-08

@Voin_sveta,"Статья в основном для новичков в компьютерах. ". Я считаю что так и должно быть, как можно больше статей для новичков, а спецы как говорится сами справятся с проблемами, естественно не с помощью "Доктор Веб".

Неуёмный Обыватель
02:57:43 2016-10-08

@B0RIS, а вот я не уверен, что я смогу разобраться с ложноположительным срабатыванием в любом случае. скорей всего, я поосторожничаю

Неуёмный Обыватель
01:53:15 2016-10-08

@bob123456, мне тоже интересно, что и куда у меня на ПК ломится. Поэтому использую интерактивный режим брандмауэра

razgen
23:33:25 2016-10-07

mazev
23:11:35 2016-10-07

tatmax
22:07:30 2016-10-07

Voin sveta
22:02:24 2016-10-07

Что самое печальное - кол-во Adware-угроз только растет - они живут и расцветают благодаря партнерским программам, которые кормят своих разработчиков. И часто сторонние антивирусы пропускают эту угрозу. А Доктор Веб способен находить такие гадости. Активировать можно так:

Заходим в Настройки -> Компоненты защиты -> SpIDer Guard -> Действия
В пунктах "Рекламные программы" и "Потенциально опасные" выбираем "Перемещать в карантин".
ВНИМАНИЕ: После внесения этих изменений антивирус будет блокировать намного больше объектов, представляющих потенциальную угрозу безопасности! Чтобы уменьшить число "ненужных" срабатываний, измените данные настройки на настройки по умолчанию - в пунктах будет обозначено - ". (по умолчанию)"

Voin sveta
21:50:32 2016-10-07

Другое дело, когда в легитимной программе (особенно бесплатных) "напиханы" Янд**с Браузеры, Амиго, и прочие лишние программы Adware. Тогда нужно быть внимательными и снимать лишний галочки. Тогда ваш компьютер в чистоте и порядке.

kva-kva
21:50:03 2016-10-07

Voin sveta
21:12:59 2016-10-07

@bob123456 , полностью с вами согласен. В продуктах Dr.Web-а все продумано в плане безопасности и функциональности, что не может не радовать пользователя.

Voin sveta
20:52:22 2016-10-07

Статья в основном для новичков в компьютерах. Чтобы они не не думали, что любой антивирус может обнаружить и удалить любой вирус в системе. Или что даже на проверенный установщик известной программы может "ополчиться" антивирус.

Dvakota
20:33:58 2016-10-07

Mehatronik
17:40:00 2016-10-07

B0RIS
17:19:28 2016-10-07

Меньше ложноотрицательных срабатываний, а с ложноположительными сумеем разобраться!

Rider
15:41:28 2016-10-07

хорошая статья, но волков бояться в лес не ходить и сауны.

bob123456
15:37:13 2016-10-07

@Неуёмный_Обыватель, Ну, для успешной атаки ещё надо и брандмауэр как минимум обойти. А если он двухсторонний как у Доктор Вэба (то есть такой, который защищает как входящий, так и исходящий трафик), то даже попавший в систему троян не сможет украсть информацию, так как доступ ему к внешнему миру будет заблокирован. А ещё он (брандмауэр) скажет какая программа пытается получить доступ во внешнюю среду. И зачастую таким образом можно определить наличие вредоноса в системе.

Так что даже если злоумышленник сможет обойти один уровень защиты, то не факт, что он сможет обойти и остальные. Поэтому, современный антивирус должен быть комплексным и иметь множество степеней дополнительной защиты даже в том случае, когда пользователь по невнимательности или по незнанию скажет ему "Да". И антивирус Доктор Вэб полностью соответствует данному стандарту.

bob123456
15:23:03 2016-10-07

Хотелось бы ещё добавить то, чтобы пользователи не настраивали антивирусы на параноидальные режимы. А то настроят и будут мучиться с операционной системой. Да и настройки по умолчанию я считаю самыми оптимальными.

sania2186
14:14:08 2016-10-07

Если антивирус сообщает о возможной угрозе, то обновите его и проведите полное сканирование

marisha-san
13:12:59 2016-10-07

dyadya_Sasha
13:09:58 2016-10-07

Когда кто-то говорит о стопроцентном результате (в том числе степени защиты или идентификации и нейтрализации вируса) то вызывает лишь недоверие. Признание ошибок, предупреждение клиента(не боясь потери имиджа) с обоснованием появления этих ошибок и уверенность в том, что во всю идет работа, чтобы этих ошибок стало меньше повышают доверие к фирме. Я доверяю ДрВебу, в том числе и за честность. Ошибаются все. Это допустимо. Только ошибки могут быть разными. Некоторые никто не заметит, а некоторые - меняют судьбу.

Дмитpий
12:11:34 2016-10-07

Хм. Оригинальный подход. Принуждение к блокировке сервиса. Высший пилотаж прям :)

Hazal
11:52:11 2016-10-07

Viktoria
11:30:05 2016-10-07

Azat
11:27:14 2016-10-07

AlexeyOloryal
10:15:01 2016-10-07

Был недавно опыт использования ложноположительного срабатывания, решился вопрос в течении дня.

Bigvit
10:00:24 2016-10-07

Это нормально. Если я уверен, что сайт (файлы) не заражены, конечно предоставляю им доступ.

A1037
09:46:26 2016-10-07

Всяко бывает. Все ошибаются. Вопрос как грубо и как часто.

znamy
09:18:22 2016-10-07

Если знаешь что все чисто,просто не обращаешь внимание.Спасибо за статью.

djabax
09:02:22 2016-10-07

kyha4
08:33:13 2016-10-07

Да. Как говаривал Цицерон: "Errare humanum est, stultum est in errore perseverare".

Влад
08:22:07 2016-10-07

Deniskaponchik
08:21:05 2016-10-07

Читайте также:

  
• Realtek rtl8723ae не видит сеть
  
• Как записать видео на ноутбуке с презентацией
  
• Digma linx a106 как разблокировать
  
• Safari не удается открыть страницу из за большого количества переадресаций что делать
  
• Как правильно вставить сим карту в планшет дексп n 570