П'ятдесят відтінків сірого: складнощі ідентифікації вірусів

Вибираючи антивірус, ми шукаємо таку програму, яка б максимально захищала ПК. У той самий час, один антивірус може не знайти в системі жодної шкідливої програми, а другий - десятки. Отримуючи звіти про сканування комп'ютера, користувач найчастіше не замислюється над тим, чому антивірус визначає конкретний файл, як шкідливий і чи адекватне його рішення. Сьогодні ми поговоримо про те, як бачать різні антивіруси одні й ті ж файли і в чому причина цих розбіжностей.

Політика антивірусних компаній

В основі всіх відмінностей ідентифікації стоїть кілька важливих факторів. Одним з головних є політика антивірусних лабораторій, а саме критерії за якими ті чи інші програми або файли відносять до шкідливих. Саме ці відмінності і стають причиною появи так званих «сірих програм». До них часто відносять всілякі tool bar, adware, кейгени та інші.

Як приклад, можна навести Bitcoin mining. Ця програма багатьма антивірусами вважається як шкідлива або потенційно небажана. У той же час інші антивіруси не вважають її шкідливою і небезпечною. Позиція останніх ґрунтується на тому простому факті, що внесення її в антивірусні бази як шкідливу, призведе до блокування її на всіх ПК, на яких встановлено даний антивірус. Тут з'являється «вузьке місце», яке впливає на рішення антивірусних лабораторій не рахувати її як шкідника - священне бажання користувача. Адже якщо людина сама свідомо встановлює таку програму собі на ПК, і погоджується з усіма її особливостями, то блокувати її антивірусом просто некоректно. Цей критерій особливо важливий в площині побудови довгострокових лояльних відносин з користувачами антивірусу, оскільки обмеження свободи вибору в будь-якій формі може завдати репутації та багаторічній дружбі смертельного удару. На антивірусному ринку це дуже важливий фактор. Втрата 1% користувачів через такі непродумані дії загрожує втратами стабільних мільйонних прибутків.

Іншим боком медалі може слугувати приклад, коли антивірусна компанія навпаки відзначає якусь програму, наприклад, торрент-трекер, як шкідливу, незважаючи на те, що нею активно користуються юзери. На таке рішення впливає кілька причин, зокрема отримання негативних відгуків про її діяльність (уповільнення роботи ПК), обробці даних репутаційних технологій. Також «бан» може встановлюватися на основі звітів про приховані або умовно неафішовані дії, які програма здійснює на комп'ютері користувача. Мова йде про самовільне встановлення програм, непідтверджених користувачем змін. Таке рішення може бути прийняте, незважаючи на той факт, що всі установки додаткового ПЗ фактично вирішуються або забороняються самим користувачем, за допомогою установки галочки або її зняття.

Особливості виявлення

Найчастіше питання до конкретних файлів виникають при використанні он-лайн сканерів, в яких працює два і більше ядер антивірусних програм.

Так, наприклад, «багатоядерні» сканери, як правило, знаходять на ПК безліч шкідливих програм. Це при тому, що це ж ПО не відзначається як небезпечне стаціонарними антивірусами. Для непосвячених користувачів це сприймається як сенсація, якщо врахувати, що в основному такі сканери - безкоштовні сервіси. Такі прецеденти викликають обурення користувачів і відчуття, що вони заплатили за бренд з ім’ям, але не отримують максимальний захист. У той самий час, буває так, що в чорному списку багатоядерного сканера виявляються програми або файли, в нешкідливості яких є 100% впевненість.

Причина таких розбіжностей криється в особливостях, роботи багатоядерних і одноядерних антивірусів. Ядра сканера можуть працювати в режимі максимального захисту. Крім того бази вірусних сигнатур, в яких записані шкідливі програми, різні за обсягом, набору відомого шкідливого ПЗ і методами його визначення. Враховуючи їх індивідуальні особливості, це може призвести до надмірної прискіпливості сканування.

Перевіряючи код програм і файлів вони, найчастіше визначають частини нешкідливого програмного коду, як шкідливе ПЗ. Буває, що ярлик «вірус» вішається на програми або файл тільки тому, що його функції схожі з можливостями відомого шкідника. Таким чином, багатоядерні антивіруси в 99% випадків діють безкомпромісно, знаходять «віруси» на ПК, навіть у тому випадку якщо їх там немає або таке классифікування неоднозначне.

Таким чином, підтверджується факт, що в світі не до всього можна застосувати категорії «чорного» і «білого». Важливо відзначити, що виявлення або не виявлення таких «сірих» програми не є показником слабкості або надійності антивірусу. Таким чином, не варто по таких прогармах, і особливостям їх детектування, судити про якість захисного ПЗ. Такі висновки можуть виявитися поверхневими, тому необхідно розбиратися детальніше й дивитися глибше.