Пятьдесят оттенков серого: сложности идентификации вирусов
Выбирая антивирус, мы ищем такую программу, которая бы максимально защищала ПК. В тоже время один антивирус может не найти в системе ни одной вредоносной программы, а второй – десятки. Получая отчеты о сканировании компьютера, пользователь зачастую не задумывается о том, почему антивирус определяет конкретный файл, как вредоносный и адекватно ли его решение. Сегодня мы поговорим о том, как видят разные антивирусы одни и те же файлы и в чем причина этих расхождений.
Политика антивирусных компаний
В основе всех различий идентификации стоит несколько важных факторов. Одним из главных является политика антивирусных лабораторий, а именно критерии по которым те или иные программы или файлы относят к вредоносным. Именно эти различия и становятся причиной появления так называемых «серых программ». К ним зачастую относят всевозможные tool bar, adware, кейгены и другие.
Как пример, можно привести Bitcoin mining. Эта программа многими антивирусами считается как вредоносная или потенциально нежелательная. В тоже время другие антивирусы не считают ее зловредной и опасной. Позиция последних основывается на том простом факте, что внесение ее в антивирусные базы как вредоносную, приведет к блокированию ее на всех ПК, на которых установлен данный антивирус. Здесь появляется то самое «узкое место», которое влияет на решение антивирусных лабораторий не считать ее зловредом – священное желание пользователя. Ведь если человек сам сознательно устанавливает такую программу себе на ПК, и соглашается со всеми ее особенностями, то блокировать ее антивирусом просто некорректно. Этот критерий особенно важен в плоскости построения долгосрочных лояльных отношений с пользователями антивируса, поскольку ограничение свободы выбора в любой форме может нанести репутации и многолетней дружбе смертельный удар. На антивирусном рынке это очень важный фактор. Потеря 1% пользователей из-за таких непродуманных действий чревато потерями стабильных миллионных прибылей.
Другой стороной медали может служить пример, когда антивирусная компания наоборот отмечает некую программу, например, торрент-треккер, как вредоносную, несмотря на то, что ей активно пользуются юзеры. На такое решение влияет несколько причин, в частности получение негативных отзывов о ее деятельности (замедлению работы ПК), обработке данных репутационных технологий. Также «бан» может устанавливаться на основе отчетов о скрытых или условно не афишируемых действиях, которые программа осуществляет на компьютере пользователя. Речь идет о самовольной установке програм, неподтвержденных пользователем изменений. Такое решение может быть принято, несмотря на тот факт, что все установки дополнительного ПО фактически разрешаются или запрещаются самим пользователем, посредством установки галочки или ее снятия.
Особенности выявления
Чаще всего вопросы к конкретным файлам возникают при использовании он-лайн сканеров, в которых работает два и больше ядер антивирусных программ.
Так, например, «многоядерные» сканеры, как правило, находят на ПК множество зловредов. Это при том, что это же ПО не отмечается как опасное стационарными антивирусами. Для непосвященных пользователей это воспринимается как сенсация, если учесть, что в основном это сканеры - бесплатные сервисы. Такие прецеденты вызывает возмущение пользователей и ощущение, что они заплатили за именитый бренд, но не получают максимальную защиту. В тоже время, часто бывает так, что в черном списке многоядерного сканера оказываются программы или файлы, в безобидности которых есть 100% уверенность.
Причина таких расхождений кроется в особенностях, работы многоядерных и одноядерных антивирусов. Ядра сканера могут работать в режиме максимальной защиты. Кроме того базы вирусных сигнатур, в которых записаны вредоносные программы, разные по объему, набору известного вредоносного ПО и методах его определения. Учитывая их индивидуальные особенности, это может привести к чрезмерной придирчивости сканирования.
Проверяя код программ и файлов они, зачастую определяют части безобидного программного кода, как вредоносное ПО. Бывает, что ярлык «вирус» вешается на программы или файл только по тому, что его функции схожи с возможностями известного зловреда. Таким образом, многоядерные антивирусы в 99% случаев действуют бескомпромиссно, находят «вирусы» на ПК, даже в том случае если их там нет или такое классифицирование неоднозначно.
Таким образом, подтверждается факт, что в мире не ко всему можно применить категории «черного» и «белого». Важно отметить, что такие «серые» программы не являются показателем слабости или надежности антивируса. Таким образом, не стоит по ним, и особенностям их детектирования, судить о качестве защитного ПО. Такие выводы могут оказаться поверхностными, поэтому необходимо разбираться детальнее и смотреть в корень.
