Производители программного обеспечения предлагают огромный выбор антивирусных программ. Антивирусы становятся всё сложнее, разработчики придумывают всё новые и новые технологии обнаружения «нежелательного ПО». Как следствие, часто возникает обратная проблема - ложные срабатывания, возникающая периодически и затрагивающая всех производителей программного обеспечения. Ни один разработчик антивируса не может похвастаться тем, что его продукт никогда не выдавал ложных срабатываний. Антивирусные компании стараются обеспечивать решение таких ошибок в кратчайшие сроки, но, тем не менее, часть пользователей успевает пострадать от каждой такой оплошности.
Комментарий предоставил технический руководитель проекта Zillya! Олег Сыч:
«Ложные срабатывания антивирусных программ — это большая головная боль всех антивирусных компаний. Зачастую удаление антивирусом какого-то полезного файла системы или используемого ПО для пользователя хуже, чем то, что антивирус пропустит какую-то троянскую программу. С целью минимизации случаев ложного срабатывания наших антивирусных продуктов, мы постоянно увеличиваем мощности тестового центра антивирусной лаборатории, в котором проходят тестирования все вирусные записи, перед тем как попасть в обновление антивирусных баз.»
Ложное срабатывание антивирусной программы является ошибочным детектированием чистых файлов как вредоносных. Такая ошибка возникает в случае, когда файл содержит участки кода или работает по алгоритму, характерному вредоносной программе. Иными словами, часть кода, содержащегося в чистом файле, похожа на код в вирусе. Эвристический анализ не всегда может распознать код вируса из-за его шифрования. В таком случае эффективным может стать запуск поведенческого анализа.
Также ложное срабатывание может произойти тогда, когда какая-либо программа выполняет действия, которые поведенческий анализатор антивируса расценивает как действия, характерные деятельности вируса. Несмотря на шифрование вируса, его действия будут проанализированы и, если они будут походить на вирусную активность, деятельность программы будет заблокирована.
Если антивирус посчитал вирусом файл редко используемой или некритичной программы, то его действия не составят большой проблемы — программу можно восстановить, сама система продолжит работу. Однако когда речь заходит о ложных срабатываниях на системные файлы, то пользователь может столкнуться с гораздо более серьезной проблемой вплоть до необходимости переустановки системы.
Антивирусная программа, ошибочно удалившая файл не очень популярной программы, который присутствует на десяти компьютерах, не причинит столько неприятностей, сколько она вызовет, удалив системный файл с десятков миллионов ПК.
Актуальность проблемы ложных срабатываний подтверждает наличие тестов на такие ошибки, которые проводят мировые лаборатории по компьютерной безопасности. Одно из таких исследований недавно провела китайская тестовая лаборатория PC Security Labs. Основной деятельностью организации является проведение регулярных тестирований программного обеспечения, обеспечивающего компьютерную безопасность, и развитие стандартов проведения таких тестирований. Последней работой этой частной независимой исследовательской организации стало проведение тестирования 33 популярных антивирусных программ на ложные срабатывания. Тестирование проводилось в двух направлениях работы антивирусов: статические срабатывания на чистые файлы и ложные срабатывания проактивной защиты. Важно, что результаты этого теста не демонстрируют качества детектирования вредоносных файлов, а только лишь показывают уровень ложных срабатываний тестируемых антивирусов.
В тесте принимали участие последние версии антивирусных программ с самыми последними обновлениями антивирусных баз.
Тестирование состояло из анализа базы чистых файлов, а также проверки блокировки процесса установки и запуска наиболее часто используемых программ. Интересные результаты показал анализ программ, запуск и использование которых чаще всего приводит к ложным срабатываниям антивирусов. Согласно отчёту, 26.32% ложных срабатываний приходится на долю программного обеспечения по работе с ценными бумагами. Детекты игровых программ занимают 21.05% ложных срабатываний. По 13.16% ложных срабатываний выдаются на программы для доступа в Интернет и медиа программы. Специализированные отраслевые и банковские программы приняли на себя по 10.53% ошибок антивирусов, а оставшиеся 5.26% приходится на долю ПО для обеспечения безопасности компьютера.
Результаты проведённого исследования лаборатория PC Security Labs представила в виде ряда наград с делением на категории: пять, четыре и три звезды. Также опубликован список продуктов, которые не получили никаких наград, поскольку имели слишком большое количество ложных срабатываний.
Наивысшую ценность представляет награда в пять звёзд, её получили антивирусные продукты с двумя или менее ложными срабатываниями. Ими стали продукты компаний BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft и Microsoft . Получение награды четыре звезды означало, что продукт дал три или четыре ложных срабатывания. Эту награду получили антивирусные решения разработчиков: NETGATE, Qihoo, Rising и Trend Micro . Ступеньку три звезды поделили между собой антивирусы разработчиков AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! и ArcaBit , они показали пять или шесть ложных срабатываний.
Также необходимо привести список программных продуктов, которые принимали участие в тестировании, но по результатам наград не получили - тест они не прошли. В списке оказались компании AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira и Coranti . Данные, полученные по результатам данного теста, будут использованы лабораторией PC Security Labs в будущих тестах программного обеспечения, популярного в китайском регионе.
Вероятность ложного срабатывания антивируса растет вместе с количеством новых угроз и сигнатур в базах антивирусного ПО. Иногда ложная тревога приводит к более плачевным последствиям, чем заражение. Специалисты по сетевой безопасности пока не нашли способ полностью исключить возможность неадекватного поведения защитных программ.
Ошибка в обновлении антивирусных баз компании McAfee, которая в четверг к масштабному сбою десятков тысяч компьютеров по всему миру, -- это, пожалуй, самый яркий пример того, насколько негативными могут быть последствия ложного срабатывания антивирусной программы. Программа приняла ключевой в работе ОС Windows XP системный процесс svchost.exe за червя, в результате чего продолжительной цикличной перезагрузке подверглись десятки тысяч компьютеров в университетах, школах, полицейских участках и компаниях США, где было установлено защитное ПО от McAfee.
McAfee -- компания-рекордсмен по части ложных тревог: по результатам тестов независимой организации av-comparatives.org, проведенных в феврале, продукт McAfee AntiVirus Plus 2010 сработал ложно 61 раз. В итоге антивирус занял 12-е место рейтинга. У прочих именитых производителей защитного ПО также случались ложные тревоги, но гораздо реже: у Symantec Norton Anti-Virus 2010 11 срабатываний; у Kaspersky Anti-Virus 2010 -- пять; у Eset NOD32 Antivirus 4.0 -- два; у бесплатного Microsoft Security Essentials -- три.
Но опасность ложных срабатываний сильно зависит от конкретной ситуации. Чаще всего ложные тревоги не приносят особого вреда компьютеру: блокируется доступ к некоторым чистым файлам, несколько замедляется и затрудняется работа машины. Для одного пользователя это незначительные и легко решаемые проблемы. Но для крупных компаний ложная тревога, приводящая к массовым нарушениям в работе компьютеров, корпоративных сетей и сайтов, -- это немалые временные, денежные и репутационные потери.
В разное время ложные срабатывания происходили практически у всех ведущих производителей антивирусного ПО.
В августе прошлого года «Антивирус Касперского» запрещал своим пользователям работать с сайтом банка HSBC, сообщая им о том, что интернет-ресурс заражен троянцем HTLM-Agent-CE. На самом деле сайт никакой угрозы не представлял, но пользователи некоторое время не могли воспользоваться услугами интернет-банкинга. Ошибку обнаружили специалисты «Лаборатории Касперского» в тот же день, когда стало известно о ложном срабатывании, но ущерб репутации банка был уже нанесен.
Ранее, в ноябре 2008 года, популярный антивирус AVG по ошибке принял файлы Adobe Flash, а также критически важный для работы Windows системный файл user32.dll за вредоносное ПО. В октябре того же года этот же антивирус определил популярный файервол CheckPoint Zone Alarm как троянскую программу. В качестве компенсации за причиненные неудобства AVG пришлось раскошелиться: пострадавшие пользователи получили бесплатную лицензию AVG на следующий год.
В средине марта 2006 года после обновления антивирусных баз своих клиентов компания Symantec примерно на семь часов заблокировала весь входящий трафик от одного из крупнейших американских интернет-провайдеров AOL. Антивирусные программы от Symantec принимали диапазон адресов этого провайдера за источники атак и блокировали трафик от них.
За неделю до этого события McAfee некоторое время ложно реагировал на программы Macromedia Flash Player и Microsoft Excel.
И это только некоторые из ошибок антивирусов, которые приводят к неприятным последствиям для антивирусных компаний и их клиентов.
Доля ложных тревог в общем объеме компьютерных угроз невелика -- единицы процентов. Однако их количество растет вместе с количеством реальных угроз. Антивирусные компании пытаются избегать подобных инцидентов, но из-за особенностей борьбы с вредоносным ПО это получается не всегда.
«Как правило, обновления любого антивирусного продукта проходят по несколько раз в день, -- объяснил сайт представитель одной из антивирусных компаний, пожелавший не называть своего имени. -- Связано это с добавлениями в базы новых записей на основе обнаружения новых вредоносных программ (или новых модификаций уже известных вирусов). Бывает, что обновления случаются несколько раз в час. Иногда происходят сбои. В частности, когда чистый файл по ошибке принимают за инфицированный. Но чаще -- когда запись для детектирования инфекции делается таким образом, что ловит еще и чистый файл. Любое обновление тестируется перед выходом соответствующей группой, досконально проверяется его работа. Но иногда происходят сбои».
«В ситуации с McAfee ложное срабатывание на системный компонент Svchost.exe вызвано тем, что многие вредоносные программы используют его для сокрытия своей активности в адресном пространстве этого системного процесса, -- рассказал сайт руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов. -- И червь Wecorl, который увидели решения McAfee после рокового обновления, не является исключением».
По мнению эксперта, в большинстве случаев ложные тревоги связаны с недоработками в технологиях тестирования сигнатурных баз перед их выпуском, а также с ошибками в эвристических алгоритмах обнаружения. Из-за этих недостатков исключить возможность появления таких угроз практически невозможно.
«Стопроцентного способа избавиться от ложных срабатываний не существует, так как сами методики тестирования программ основаны на эмпирических оценках и носят вероятностный характер, -- рассказал Александр Матросов. -- Антивирусная программа обнаруживает вредоносный файл, основываясь на некоторых фрагментах злонамеренного ПО. Например, сигнатура может включать какие-то уникальные характеристики вредоносного файла, при этом эвристические алгоритмы включают в себя свойства для целых семейств злонамеренных программ. Поэтому нет 100-процентной гарантии того, что именно эти характеристики не встретятся в легальном исполняемом файле».
В идеальной ситуации с домашними пользователями и компаниями ложные срабатывания не должны происходить. В длительном 14-месячном тестировании немецкая антивирусная лаборатория AV-Test выяснила, какие продукты склонны прерывать активность пользователя без всякой причины, а какие являются надежными с точки зрения ложных срабатываний.
Ложное срабатывание или нет? : AV-Test протестировала 33 антивируса за 14-месячный период.
Возможно вы уже встречались с ситуацией, когда на экране всплывает красное предупреждение и воспроизводится сигнал тревоги. Эта реакция была вызвана скопированным файлом или запущенным приложением. Но что делать, если антивирус классифицирует браузер Google Chrome или системный файл Windows в качестве опасного взломщика? В этом случае пользователь столкнулся с ложноположительным результатом, который вводит в заблуждение пользователя или системного администратора.
Обнаружение безопасных и вредоносных объектов
Антивирус должен корректно обрабатывать надежные и вредоносные файлы. Для того, чтобы проверить это, лаборатория AV-Test на протяжении 14 месяцев - с января 2015 года по февраль 2016 года оценивала, как антивирусы решают данный вопрос. В общей сложности было протестировано 19 продуктов для конечных пользователей и 14 корпоративных решений.
Исследователи определили четыре тестовых задания для Юзабилити-теста, которые были сформулированы инженерами лаборатории следующим образом:
- ложные предупреждения или блокировки при посещении веб-сайтов
- ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы
- ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО
- ложные блокировки определенных действий во время установки или использовании легитимного ПО
Методика тестирования
Во всех категориях тестирования оценивалась только безопасные веб-сайты, надежные файлы и безобидные известные приложения. В конце концов в цифровом мире гораздо больше безопасных файлов, чем зараженных объектов. Вот почему все решения работают с так называемыми “белыми списками” - базами данных, которые хранят сигнатурами и хэш-значениями. Если антивирусная программа мгновенно не распознает файл, она отправляет запрос на облачный сервер, чтобы узнать, был ли файл зарегистрирован. Если информации об объекте нет в базе данных, он будет помечен как хороший или плохой.
Для того, чтобы получить действительно релевантные результаты теста, необходимо иметь большое количество безопасных данных. Лаборатория полностью выполнила все требования стандартов:
Для тестирования каждого продукта было посещено 7000 сайтов и проверено 7,7 миллионов файлов. Кроме того, 280 приложений было запущено повторно, после чего фиксировалось будет ли антивирус повторно выводить ложное оповещение и блокировать образец.
Набор из 7,7 миллионов файлов содержал все новые файлы популярных программ для разных ОС Windows от Windows 7 до Windows 10 и офисных пакетов. Если антивирус ложно классифицирует легитимный системный файл как вредоносный, данная ситуация может иметь фатальные последствия. Именно поэтому последние версии этих важных файлов всегда включаются в программу тестирования.
Потребительские продукты: некоторые антивирусы отработали идеально
Длительный юзабилити-тест потребительских продуктов : сводка показывает ложные сигналы отдельных продуктов - действительно их не так уж и много.
Несмотря на высокие требования теста и большие объемы обработанных данных, некоторые приложения совсем не выдали ошибочных срабатываний. Avira Antivirus Pro и Kaspersky Internet Security отработали безошибочно.
Еще 4 решения от Intel Security , Bitdefender , AVG и Microsoft показали менее 10 ложных срабатывания. Тем не менее, даже продукты внизу итоговой таблицы отметились далеко не катастрофическими результатами.
Сразу 5 антивирусов получили максимальные 6 баллов во всех сегментах тестирования за 14 месяцев.
- “Ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы” - худший результат показал Ahnlab V3 Internet Security - 98 ложноположительных обнаружений при общем количестве проверенных файлов в 7,7 миллионов. Процентный показатель в 0.001% является абсолютно допустимым, но есть область для улучшения.
- “Ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО” - 11 из 19 продуктов не выдали ни одного ложного срабатывания в этом испытании. 6 продуктов показали от 1 до 3 ошибочных обнаружений в 280 тестовых случаях. Только продукт K7 Computing допустил в общей сложности 10 ложных предупреждений.
- “Ложные блокировки определенных действий во время установки или использовании легитимного ПО” - даже здесь многие из 19 программ проделали отличную работу. В то время как 7 продуктов вообще ничего не заблокировали, еще 11 приложений ошибочно запретили от 1 до 6 безобидных действий. Comodo Internet Security Premium выдал 29 ложных срабатываний.
Корпоративные продукты: только Kaspersky справился безошибочно
: уровень ложных срабатываний очень низок, что на славу оценят системные администраторы.
В рамках масштабного тестирования AV-Test была проведена оценка 14 корпоративных решений с точки зрения удобство использования, а именно корректной обработки безопасных объектов. В данном испытании два решения Лаборатории Касперского: Kaspersky Endpoint Security и Kaspersky Small Office Security справились без ошибок. Тем не менее, они принимали участие только в 6 из 7 тестов.
На протяжении всего периода тестирования решения от Sophos, Intel Security и Bitdefender продемонстрировали общий уровень ошибок ниже 10. Тем не менее, все другие продукты также имели низкий уровень ложных срабатываний при сравнении с общим объемом обработанных данных.
Высокий средний балл в тесте : многие продукты, протестированные 6 или 7 раз, показали высокую эффективность и были близки к 6 баллам.
Детальная информация о результатах:
- “Ложные предупреждения или блокировки при посещении веб-сайтов” не происходили на протяжении всего испытания при посещении 7000 ресурсов.
- “Ложные обнаружение легитимного ПО в качестве вредоносных угроз во время сканирования системы” - худший результат показал F-Secure - 49 ложноположительных обнаружений при общем количестве проверенных файлов в 7,7 миллионов. Хороший результат, хотя Sophos ошибочно распознал только два файла.
- “Ложные предупреждения при выполнении определенных действий во время установки или использовании легитимного ПО” - 4 из 14 продуктов показали от 1 до 2 ошибочных обнаружений в 280 тестовых случаях. Данный результат должен удовлетворить системных администраторов.
- “Ложные блокировки определенных действий во время установки или использовании легитимного ПО” - в данной категории результаты хороши. В 280 тестах 8 продуктов действовали безошибочно, а еще 6 решений выдали от 1 до 5 ложных срабатывания. Для сравнения, худший потребительский продукт 29 раз ошибочно заблокировал безопасные действия.
У корпоративных решений ложных срабатываний меньше
Если объединить результаты тестирования корпоративных и потребительских продуктов, то становится ясно, что корпоративные решений генерируют меньшее количество ложных срабатываний. Тем не менее, стоит отметить, что производители, предлагающие решения для конечных пользователей и компаний имеют высокую эффективность в обоих случаях. Это справедливо для решений Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec и F-Secure.
В целом, все продукты получили высокую оценку качества с точки зрения удобства использования. В то время как лаборатория обычно вычитает несколько баллов из-за ложных срабатываний, данный шаг является строго, говоря критикой за высокий уровень производительности.
Некоторые разработчики будут всерьез озадачены, когда увидят, какие именно программы вызвали ложные срабатывания. Среди часто блокируемых приложений - Notepad++, Yahoo Messenger и WinRAR. Это далеко не экзотические приложения, а стандартное популярное ПО. Учитывая низкий уровень ложных срабатываний, производители должны в кратчайшие сроки поработать над обнаруженными ошибками.
Ежедневная загрузка новых тестовых файлов
