VirusTotal: Первый удар по ложным срабатываниям антивирусов

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,886
Реакции
6,796
VirusTotal стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первые шаги Microsoft и Google уже уменьшили ложные срабатывания антивирусов

virustotal-2015.jpg


Очень часто антивирус распознает абсолютно надежный файл в качестве вредоносного. Данная ситуация происходит обычно, когда определенный вендор ошибочно помечает в качестве зловреда файл, принадлежащий распространенному виду ПО, например ключевой файл операционной системы.

Эти ошибочные обнаружения, известные также как ложные срабатывания, имеют все виды нежелательных эффектов:

Разработчики ПО могут ощутить серьезный экономический эффект на свой бизнес, т.к. большая аудитория пользователей не смогут воспользоваться работоспособной версией их продукта;
Специалисты технической поддержки могут столкнуться с большим потоком писем недовольных пользователей, утверждающих, что их программный продукт не работает или работает некорректно;
Конечные пользователи не смогут взаимодействовать с важными программами и не смогут выполнить критически важные задачи;
Репутация вендора антивирусного ПО может быть серьезно подорвана.

Очевидно, что ложные срабатывания создают серьезную головную боль как для антивирусной индустрии, так и для разработчиков ПО. Решение данной проблемы представляет довольно сложную задачу. Почему? В настоящее время антивирусные вендоры развиваются по пути большей проактивности своих продуктов с целью создания безопасной пользовательской базы, в частности они разрабатывают более общие и гибкие сигнатуры и эвристические метки, что часто приводит к ошибочным обнаружениям.

VirusTotal, онлайн-сервис, принадлежащий Google, стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первым шагом в данном совместном проекте будет защита так называемых надежных источников. Целью первого этапа будет создание каталога ПО, где крупные разработчики программных продуктов смогут делиться своими файлами.

Данные файлы будут помечаться сервисом VirusTotal и, когда антивирусная программа будет (ошибочно) распознавать и блокировать их, соответствующий вендор будет уведомлен об ошибочном обнаружении с целью корректировки ложного срабатывания. Кроме того, когда файлы будут передаваться антивирусным вендорам, они будут помечены особым образом, чтобы ошибочные метки были проигнорированы, предотвращая эффект снежного кома с коэффициентом обнаружения.

VirusTotal уже начал помечать файлы , и Вы уже могли заметить информационный блок в верхней части страницы отчета - пример (Trusted source! This file belongs to Microsoft Corporation's software catalogue).


2015-02-14_101119.png

Как Вы можете видеть, на странице выводится не только список идентификации надежного источника, ложные срабатывания также показываются в нижней части отчета. Данная мера позволяет убедиться, что ложные срабатывания не станут вводить в заблуждение пользователей при просмотре отчета. Информация об этих ошибочных обнаружениях отправляется соответствующим вендорам для того, чтобы исправить проблему.

Команда VirusTotal на протяжении целой недели вплотную занималась продуктами компании Microsoft. Результаты выглядят многообещающими: за эту неделю было зафиксировано более 6000 ложных срабатываний. VirusTotal благодарит команду Microsoft за обмен метаданными коллекции программных решений, а также антивирусную индустрию в целом за борьбу с ложными срабатываниями.

Итак, а какие шаги будут следующими? В первую очередь, VirusTotal стремится увеличить коллекцию надежных источников. Крупные разработчики ПО могут связаться с представителями сервиса для обмена данными и сопутствующего сотрудничества для сокращения числа ложных срабатываний. К разработчикам потенциально нежелательных и рекламных приложений данное предложение не относится.

 
Данные файлы будут помечаться сервисом VirusTotal и, когда антивирусная программа будет (ошибочно) распознавать и блокировать их, соответствующий вендор будет уведомлен об ошибочном обнаружении с целью корректировки ложного срабатывания. Кроме того, когда файлы будут передаваться антивирусным вендорам, они будут помечены особым образом, чтобы ошибочные метки были проигнорированы, предотвращая эффект снежного кома с коэффициентом обнаружения.
Стремление хорошее, а вот как будет такое на практике работать, увидим.
Вирлабам придется создавать отдельный канал приёма и подстраиваться. Захотят ли...
 
Вирлабам придется создавать отдельный канал приёма и подстраиваться. Захотят ли...
никакого дополнительного канала им создавать не надо. Аналитики и раньше автоматом получали информацию с вирустотала, просто раньше эту инфу получали, только когда семпл не детектировался, а сейчас будут получать ещё и при фолсах с пометкой фолс.

ЗЫ. первоисточник новости на англ. здесь.
 
Вот только обычным юзерам это никак не посмотреть - нельзя посмотреть какой антивирус сколько детектил trusted файлов.
 
Общую статистику сколько у кого фолсов было не может, а вот по конкретному файлу, кто на данный момент фолсит может :).
 
Ну хоть что-то простым юзерам позволили. А вот Вы, к примеру, можете найти хоты бы пару файлов с тегом trusted на которые есть ложняк хоть у какого-нибудь из известных и распространенных продуктов?
По-моему, это сделать крайне сложно и долго, вроде нет никакого механизма поиска там в таком ракурсе.

Еще хочу напомнить о "хитрых" детектах. Вы стопроцентно помните случай (в последние полгода), когда некий антивирус ***32 детектировал системный файл в системной папке как патчед, а на VT его же он не детектировал.
 
Последнее редактирование:
Интересно и как это будет выглядит если один антивирус специально добавит в базу вирус что бы другие его добавили что бы потом убить всю систему как это сделала антивирус касперский для того что бы убрать свойх конкурентов я считаю что на до оставить как есть
 
Ничего не будет. Как был кругооборот кражи детектов в природе, так он и останется. Такой ход будет просто PR акцией
 
Интересно и как это будет выглядит если один антивирус специально добавит в базу вирус что бы другие его добавили что бы потом убить всю систему как это сделала антивирус касперский для того что бы убрать свойх конкурентов я считаю что на до оставить как есть
сам спросил, сам ответил... и к чему относилась фраза надо оставить как есть вообще не понятно.
 
Назад
Сверху Снизу