Programvarutillverkare erbjuder ett stort urval av antivirusprogram. Antivirus blir mer och mer komplexa, utvecklare kommer med fler och fler nya tekniker för att upptäcka "oönskad programvara". Som en konsekvens uppstår ofta det motsatta problemet - falska positiva, som inträffar med jämna mellanrum och påverkar alla mjukvarutillverkare. Ingen antivirusutvecklare kan skryta med att deras produkt aldrig har genererat falska positiva resultat. Antivirusföretag försöker tillhandahålla lösningar på sådana fel så snart som möjligt, men ändå lyckas vissa användare drabbas av varje sådan förbiseende.
Kommentar från den tekniska ledaren för Zillya! Oleg Sych:
"Antivirus falska positiva är en stor huvudvärk för alla antivirusföretag. Ofta är det värre för användaren att ta bort någon användbar systemfil eller programvara av antivirusprogrammet än att antivirusprogrammet missar något slags trojanskt program. För att minimera fallen av falska positiva resultat av våra antivirusprodukter ökar vi ständigt kapaciteten hos antiviruslaboratoriets testcenter, där alla virusposter testas innan de uppdateras med antivirusdatabaser.”
Ett antivirusprogram falskt positivt är falsk upptäckt av rena filer som skadliga. Det här felet uppstår när filen innehåller kodavsnitt eller fungerar enligt en algoritm som är karakteristisk för ett skadligt program. Med andra ord, en del av koden i en ren fil liknar koden i ett virus. Heuristisk analys kan inte alltid känna igen viruskoden på grund av dess kryptering. I det här fallet kan det vara effektivt att göra en beteendeanalys.
En falsk positiv kan också inträffa när ett program utför åtgärder som antivirusets beteendeanalysator betraktar som åtgärder som är karakteristiska för viruset. Trots krypteringen av viruset kommer dess åtgärder att analyseras och, om de ser ut som virusaktivitet, kommer programmets aktivitet att blockeras.
Om antivirusprogrammet anser att en fil av ett sällan använt eller icke-kritiskt program är ett virus, kommer dess åtgärder inte att vara ett stort problem - programmet kan återställas, själva systemet kommer att fortsätta att fungera. Men när det kommer till falska positiva resultat på systemfiler kan användaren möta ett mycket allvarligare problem, upp till behovet av att installera om systemet.
Ett antivirusprogram som av misstag tar bort en fil från ett inte så populärt program som finns på tio datorer kommer inte att orsaka lika mycket problem som det kommer att orsaka genom att radera en systemfil från tiotals miljoner datorer.
Relevansen av problemet med falska positiva bekräftas av närvaron av tester för sådana fel, som utförs av världens datasäkerhetslaboratorier. En sådan studie genomfördes nyligen av Kinas PC Security Labs. Organisationens huvudsakliga verksamhet är att genomföra regelbundna tester av programvara som säkerställer datorsäkerhet och utveckling av standarder för sådan testning. Det senaste arbetet av denna privata oberoende forskningsorganisation var att testa 33 populära antivirusprogram för falska positiva resultat. Testning utfördes inom två områden av antivirusarbete: statiska positiva för rena filer och falska positiva för proaktivt skydd. Det är viktigt att resultaten av detta test inte visar kvaliteten på att upptäcka skadliga filer, utan bara visar nivån av falska positiva resultat för de testade antivirusprogrammen.
Testet involverade de senaste versionerna av antivirusprogram med de senaste antivirusdatabasuppdateringarna.
Testningen bestod av att analysera databasen med rena filer, samt att kontrollera blockeringen av installationsprocessen och lanseringen av de mest använda programmen. Intressanta resultat visades genom analys av program, vars lansering och användning oftast leder till falska positiva antivirus. Enligt rapporten står 26,32 % av de falska positiva för av värdepappersprogram. Detektioner av spelprogramvara står för 21,05 % av falska positiva. 13,16 % av falska positiva meddelanden utfärdas för program för åtkomst till Internet och medieprogram. Specialiserade industri- och bankprogram stod var och en för 10,53 % av antivirusfelen, medan de återstående 5,26 % står för datorsäkerhetsprogram.
Resultaten av studien presenterades av PC Security Labs i form av en serie priser indelade i kategorier: fem, fyra och tre stjärnor. Publicerade även en lista över produkter som inte fick några utmärkelser eftersom de hade för många falska positiva resultat.
Det högsta värdet är en femstjärnig utmärkelse som ges till antivirusprodukter med två eller färre falska positiva resultat. De var produkter från företag BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft och Microsoft. Att få ett fyrstjärnigt pris innebar att produkten gav tre eller fyra falska positiva resultat. Detta pris tilldelades antiviruslösningar från utvecklare: NETGATE, Qihoo, Rising och Trend Micro. Steget med tre stjärnor delades mellan sig av utvecklarnas antivirus AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! och ArcaBit, visade de fem eller sex falska positiva resultat.
Det är också nödvändigt att tillhandahålla en lista över programvaruprodukter som deltog i testning, men som inte fick utmärkelser baserat på resultaten - de klarade inte testet. Företag på listan AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira och Coranti. Data som erhålls från resultaten av detta test kommer att användas av PC Security Labs i framtida tester av programvara som är populär i Kina-regionen.
Sannolikheten för falska positiva antivirusprogram ökar tillsammans med antalet nya hot och signaturer i antivirusprogramdatabaser. Ibland leder ett falskt larm till mer katastrofala konsekvenser än infektion. Nätverkssäkerhetsexperter har ännu inte hittat ett sätt att helt eliminera möjligheten till olämpligt beteende hos säkerhetsprogram.
Ett fel i uppdateringen av McAfees antivirusdatabaser, som i torsdags orsakade ett storskaligt fel på tiotusentals datorer runt om i världen, är kanske det mest slående exemplet på hur negativa konsekvenserna av ett falskt positivt av ett antivirusprogram kan vara. Programmet misstog svchost.exe-systemprocessen, som är nyckeln till driften av Windows XP, för en mask, vilket resulterade i att tiotusentals datorer vid amerikanska universitet, skolor, polisstationer och företag där McAfee säkerhetsprogramvara installerades utsattes för långvariga cykliska omstarter.
McAfee har rekordet för falska larm, där McAfee AntiVirus Plus 2010 rapporterade 61 falska positiva tester i februaritest av den oberoende organisationen av-comparatives.org. Som ett resultat tog antiviruset 12:e plats i betyget. Andra välkända leverantörer av säkerhetsprogram upplevde också falska larm, men mycket mindre ofta: Symantec Norton Anti-Virus 2010 hade 11 positiva; Kaspersky Anti-Virus 2010 har fem; Eset NOD32 Antivirus 4.0 har två; gratis Microsoft Security Essentials har tre.
Men risken för falska positiva är starkt beroende av den specifika situationen. Oftast orsakar falska larm inte mycket skada på datorn: åtkomst till vissa rena filer blockeras, maskinen saktar ner något och blir svårare. För en enskild användare är detta mindre och lättlösta problem. Men för stora företag är ett falskt larm som leder till massiva störningar i driften av datorer, företagsnätverk och webbplatser en avsevärd förlust av tid, pengar och rykte.
Vid olika tillfällen inträffade falska positiva resultat hos nästan alla ledande tillverkare av antivirusprogram.
I augusti förra året, Kaspersky Anti-Virus förbjöd dess användare att arbeta med HSBC Banks webbplats och informera dem om att internetresursen är infekterad med HTLM-Agent-CE-trojanen. Faktum är att sajten inte utgjorde något hot, men användare kunde inte använda internetbanktjänster under en tid. Felet upptäcktes av Kaspersky Labs specialister samma dag som den falska positiva blev känd, men skadan på bankens rykte hade redan skett.
Tidigare, i november 2008, misstog det populära antivirusprogrammet AVG av misstag Adobe Flash-filer, såväl som den Windows-kritiska systemfilen user32.dll, för skadlig programvara. I oktober samma år identifierade samma antivirus den populära brandväggen CheckPoint Zone Alarm som en trojan. Som kompensation för besväret som orsakades fick AVG punga ut: de berörda användarna fick en gratis AVG-licens för nästa år.
I mitten av mars 2006, efter att ha uppdaterat sina kunders antivirusdatabaser, blockerade Symantec all inkommande trafik från AOL, en av de största amerikanska internetleverantörerna, i cirka sju timmar. Symantecs antivirusprogram misstog internetleverantörens adressintervall som attackkällor och blockerade trafik från dem.
En vecka före denna händelse hade McAfee felaktigt reagerat på Macromedia Flash Player och Microsoft Excel under en tid.
Och det här är bara några av antivirusbuggarna som slår tillbaka på antivirusföretag och deras kunder.
Andelen falsklarm av den totala volymen datorhot är liten – några procent. Deras antal växer dock tillsammans med antalet verkliga hot. Antivirusföretag försöker undvika sådana incidenter, men på grund av kampen mot skadlig programvara är detta inte alltid möjligt.
"Vanligtvis uppdateras alla antivirusprodukter flera gånger om dagen", förklarade en talesman för ett av antivirusföretagen, som bad att inte bli identifierad, för sajten. -- Detta beror på tillägget av nya poster till databaserna baserat på upptäckten av nya skadliga program (eller nya modifieringar av redan kända virus). Det händer att uppdateringar sker flera gånger i timmen. Ibland händer krascher. I synnerhet när en ren fil misstas för en infekterad. Men oftare - när en inspelning för att upptäcka en infektion görs på ett sådant sätt att den också fångar en ren fil. Alla uppdateringar testas innan releasen av motsvarande grupp, dess arbete kontrolleras noggrant. Men ibland blir det krascher."
"I situationen med McAfee orsakas den falska positiva på Svchost.exe-systemkomponenten av det faktum att många skadliga program använder den för att dölja sin aktivitet i adressutrymmet för denna systemprocess," Alexander Matrosov, chef för ESET Center för Virus Research and Analytics, berättade för webbplatsen. "Och Wecorl-masken som McAfee såg efter den ödesdigra uppdateringen är inget undantag."
Enligt experten är falsklarm i de flesta fall förknippade med brister i teknikerna för att testa signaturdatabaser innan de släpps, såväl som fel i heuristiska detekteringsalgoritmer. På grund av dessa brister är det nästan omöjligt att utesluta möjligheten för sådana hot.
"Det finns inget 100%-igt sätt att bli av med falska positiva resultat, eftersom själva mjukvarutestmetoderna är baserade på empiriska uppskattningar och är sannolikhet", säger Alexander Matrosov. -- Antivirusprogrammet upptäcker den skadliga filen baserat på vissa delar av skadlig programvara. Till exempel kan en signatur innehålla några unika egenskaper hos en skadlig fil, medan heuristiska algoritmer inkluderar egenskaper för hela familjer av skadliga program. Därför finns det ingen 100 % garanti för att dessa särskilda egenskaper inte kommer att finnas i en laglig körbar fil.
I en idealisk situation med hemanvändare och företag bör falska positiva inte förekomma. I ett långt 14-månaderstest tog det tyska antiviruslabbet AV-Test reda på vilka produkter som tenderar att avbryta användaraktivitet utan anledning, och vilka som är tillförlitliga när det gäller falska positiva resultat.
Falskt positivt eller inte? S: AV-Test testade 33 antivirus under en 14-månadersperiod.
Du kanske redan har stött på situationen när en röd varning dyker upp på skärmen och ett larm spelas. Denna reaktion orsakades av en kopierad fil eller ett program som körs. Men vad händer om antiviruset klassificerar webbläsaren Google Chrome eller Windows-systemfilen som en farlig inkräktare? I det här fallet har användaren upplevt ett falskt positivt resultat som är vilseledande för användaren eller systemadministratören.
Detektering av säkra och skadliga föremål
Antiviruset måste hantera pålitliga och skadliga filer korrekt. För att verifiera detta har AV-Test-laboratoriet under 14 månader - från januari 2015 till februari 2016, utvärderat hur antivirus löser detta problem. Totalt testades 19 slutanvändarprodukter och 14 företagslösningar.
Forskarna identifierade fyra testobjekt för användbarhetstestet, som formulerades av laboratorieingenjörerna enligt följande:
- falska varningar eller blockering när du besöker webbplatser
- falsk upptäckt av legitim programvara som skadlig programvara under systemsökning
- falska varningar när du utför vissa åtgärder under installationen eller användningen av legitim programvara
- falsk blockering av vissa åtgärder under installation eller användning av legitim programvara
Testteknik
I alla testkategorier utvärderades endast säkra webbplatser, betrodda filer och ofarliga kända applikationer. Det finns trots allt mycket fler säkra filer i den digitala världen än det finns infekterade objekt. Det är därför alla lösningar fungerar med så kallade "vitlistor" – databaser som lagrar signaturer och hashvärden. Om antivirusprogrammet inte omedelbart känner igen filen skickar det en fråga till molnservern för att se om filen har registrerats. Om informationen om objektet inte finns i databasen kommer den att markeras som bra eller dålig.
För att få riktigt relevanta testresultat behöver du ha mycket säker data. Laboratoriet uppfyllde till fullo alla krav i standarderna:
För att testa varje produkt besöktes 7 000 sajter och 7,7 miljoner filer kontrollerades. Dessutom återlanserades 280 applikationer, varefter det fixades om antiviruset upprepade gånger skulle visa en falsk varning och blockera provet.
En uppsättning på 7,7 miljoner filer innehöll alla nya filer med populära program för olika Windows-operativsystem från Windows 7 till Windows 10 och kontorssviter. Om ett antivirus felaktigt klassificerar en legitim systemfil som skadlig, kan denna situation vara dödlig. Det är därför de senaste versionerna av dessa viktiga filer alltid ingår i testprogrammet.
Konsumentprodukter: Vissa antivirus fungerade perfekt
Långsiktiga användbarhetstester av konsumentprodukter: sammanfattningen visar falska signaler från enskilda produkter - det finns verkligen inte så många av dem.
Trots de höga kraven på testet och de stora mängderna data som bearbetades genererade vissa applikationer inga falska positiva resultat alls. Avira Antivirus Pro och Kaspersky Internet Security fungerade felfritt.
4 fler lösningar från Intel säkerhet , Bitdefender , AVG och Microsoft visade mindre än 10 falskt positiva. Men även produkterna i botten av finalbordet märktes långt ifrån katastrofala resultat.
5 antivirus på en gång fick de maximala 6 poängen i alla testsegment under 14 månader.
- "Falsk upptäckt av legitim programvara som skadlig programvara under systemgenomsökningar" - det värsta resultatet visades av Ahnlab V3 Internet Security - 98 falska positiva upptäckter med ett totalt antal skannade filer på 7,7 miljoner. En procentandel på 0,001 % är helt acceptabelt, men det finns utrymme för förbättringar.
- "Falska varningar när vissa åtgärder utförs under installation eller användning av legitim programvara" - 11 av 19 produkter genererade inga falska positiva resultat i detta test. 6 produkter visade 1 till 3 falskt positiva i 280 testfall. Enbart K7 Computing-produkten genererade totalt 10 falska varningar.
- "Falsk blockering av vissa åtgärder vid installation eller användning av legitim programvara" - även här gjorde många av de 19 programmen ett utmärkt jobb. Medan 7 produkter inte blockerade något alls, förbjöd 11 andra appar felaktigt mellan 1 och 6 ofarliga aktiviteter. Comodo Internet Security Premium utfärdade 29 falska positiva.
Företagsprodukter: bara Kaspersky klarade sig felfritt
: Den falska positiva frekvensen är mycket låg, vilket systemadministratörer kommer att uppskatta.
Som en del av storskaliga tester av AV-Test utvärderades 14 företagslösningar vad gäller användbarhet, nämligen korrekt bearbetning av säkra objekt. I det här testet, två lösningar från Kaspersky Lab: Kaspersky Endpoint Security och Kaspersky Small Office Security klar utan fel. De deltog dock bara i 6 av 7 tester.
Under hela testperioden visade lösningar från Sophos, Intel Security och Bitdefender en total felfrekvens under 10. Alla andra produkter hade dock också låga falska positiva frekvenser jämfört med den totala mängden data som behandlades.
Högt testresultat: Många produkter som testats 6 eller 7 gånger visade hög effektivitet och var nära 6 poäng.
Detaljerad information om resultaten:
- "Falska varningar eller blockering när du besöker webbplatser" förekom inte under hela försöket när du besökte 7000 resurser.
- "Falsk upptäckt av legitim programvara som skadlig programvara under systemgenomsökningar" - F-Secure visade det sämsta resultatet - 49 falska positiva upptäckter med ett totalt antal skannade filer på 7,7 miljoner. Bra resultat, även om Sophos bara felaktigt kände igen två filer.
- "Falska varningar vid utförande av vissa åtgärder under installation eller användning av legitim programvara" - 4 av 14 produkter visade 1 till 2 falska positiva i 280 testfall. Detta resultat bör tillfredsställa systemadministratörer.
- "Falsk blockering av vissa åtgärder under installation eller användning av legitim programvara" - i denna kategori är resultaten bra. I 280 tester fungerade 8 produkter felfritt, och ytterligare 6 lösningar genererade från 1 till 5 falska positiva. Som jämförelse blockerade den värsta konsumentprodukten felaktigt säkra aktiviteter 29 gånger.
Företagslösningar har färre falska positiva resultat
Om vi kombinerar resultaten av att testa företags- och konsumentprodukter blir det tydligt att företagslösningar genererar färre falska positiva resultat. Det är dock värt att notera att tillverkare som erbjuder lösningar till slutanvändare och företag är mycket effektiva i båda fallen. Detta gäller för Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec och F-Secure-lösningar.
Generellt sett fick alla produkter ett högt kvalitetsbetyg vad gäller användbarhet. Medan labbet vanligtvis drar av några poäng på grund av falska positiva resultat, är det här steget strikt, kritiserat för sin höga prestationsnivå.
Vissa utvecklare kommer att bli allvarligt förbryllade när de ser vilka program som orsakade de falska positiva. Ofta blockerade applikationer inkluderar Notepad++, Yahoo Messenger och WinRAR. Dessa är långt ifrån exotiska applikationer, utan vanliga populär programvara. Med tanke på den låga andelen falska positiva, bör tillverkare arbeta med de buggar de hittar så snart som möjligt.
Daglig nedladdning av nya testfiler
