VirusTotal: Первый удар по ложным срабатываниям антивирусов

Тема в разделе "Тестовая площадка", создана пользователем regist, 15 фев 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    VirusTotal стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первые шаги Microsoft и Google уже уменьшили ложные срабатывания антивирусов

    virustotal-2015.jpg


    Очень часто антивирус распознает абсолютно надежный файл в качестве вредоносного. Данная ситуация происходит обычно, когда определенный вендор ошибочно помечает в качестве зловреда файл, принадлежащий распространенному виду ПО, например ключевой файл операционной системы.

    Эти ошибочные обнаружения, известные также как ложные срабатывания, имеют все виды нежелательных эффектов:

    Разработчики ПО могут ощутить серьезный экономический эффект на свой бизнес, т.к. большая аудитория пользователей не смогут воспользоваться работоспособной версией их продукта;
    Специалисты технической поддержки могут столкнуться с большим потоком писем недовольных пользователей, утверждающих, что их программный продукт не работает или работает некорректно;
    Конечные пользователи не смогут взаимодействовать с важными программами и не смогут выполнить критически важные задачи;
    Репутация вендора антивирусного ПО может быть серьезно подорвана.

    Очевидно, что ложные срабатывания создают серьезную головную боль как для антивирусной индустрии, так и для разработчиков ПО. Решение данной проблемы представляет довольно сложную задачу. Почему? В настоящее время антивирусные вендоры развиваются по пути большей проактивности своих продуктов с целью создания безопасной пользовательской базы, в частности они разрабатывают более общие и гибкие сигнатуры и эвристические метки, что часто приводит к ошибочным обнаружениям.

    VirusTotal, онлайн-сервис, принадлежащий Google, стремится помочь антивирусной индустрии в борьбе с ложными срабатываниями, стараясь сотрудничать с вендорами в этом направлении. Первым шагом в данном совместном проекте будет защита так называемых надежных источников. Целью первого этапа будет создание каталога ПО, где крупные разработчики программных продуктов смогут делиться своими файлами.

    Данные файлы будут помечаться сервисом VirusTotal и, когда антивирусная программа будет (ошибочно) распознавать и блокировать их, соответствующий вендор будет уведомлен об ошибочном обнаружении с целью корректировки ложного срабатывания. Кроме того, когда файлы будут передаваться антивирусным вендорам, они будут помечены особым образом, чтобы ошибочные метки были проигнорированы, предотвращая эффект снежного кома с коэффициентом обнаружения.

    VirusTotal уже начал помечать файлы , и Вы уже могли заметить информационный блок в верхней части страницы отчета - пример (Trusted source! This file belongs to Microsoft Corporation's software catalogue).


    2015-02-14_101119.png

    Как Вы можете видеть, на странице выводится не только список идентификации надежного источника, ложные срабатывания также показываются в нижней части отчета. Данная мера позволяет убедиться, что ложные срабатывания не станут вводить в заблуждение пользователей при просмотре отчета. Информация об этих ошибочных обнаружениях отправляется соответствующим вендорам для того, чтобы исправить проблему.

    Команда VirusTotal на протяжении целой недели вплотную занималась продуктами компании Microsoft. Результаты выглядят многообещающими: за эту неделю было зафиксировано более 6000 ложных срабатываний. VirusTotal благодарит команду Microsoft за обмен метаданными коллекции программных решений, а также антивирусную индустрию в целом за борьбу с ложными срабатываниями.

    Итак, а какие шаги будут следующими? В первую очередь, VirusTotal стремится увеличить коллекцию надежных источников. Крупные разработчики ПО могут связаться с представителями сервиса для обмена данными и сопутствующего сотрудничества для сокращения числа ложных срабатываний. К разработчикам потенциально нежелательных и рекламных приложений данное предложение не относится.

     
    Drongo, akok, Охотник и 5 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Стремление хорошее, а вот как будет такое на практике работать, увидим.
    Вирлабам придется создавать отдельный канал приёма и подстраиваться. Захотят ли...
     
    Охотник нравится это.
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    никакого дополнительного канала им создавать не надо. Аналитики и раньше автоматом получали информацию с вирустотала, просто раньше эту инфу получали, только когда семпл не детектировался, а сейчас будут получать ещё и при фолсах с пометкой фолс.

    ЗЫ. первоисточник новости на англ. здесь.
     
    Охотник нравится это.
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.475
    Симпатии:
    4.305
    За Ваши деньги любой каприз.
     
    regist нравится это.
  5. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Вот только обычным юзерам это никак не посмотреть - нельзя посмотреть какой антивирус сколько детектил trusted файлов.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Общую статистику сколько у кого фолсов было не может, а вот по конкретному файлу, кто на данный момент фолсит может :).
     
  7. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Ну хоть что-то простым юзерам позволили. А вот Вы, к примеру, можете найти хоты бы пару файлов с тегом trusted на которые есть ложняк хоть у какого-нибудь из известных и распространенных продуктов?
    По-моему, это сделать крайне сложно и долго, вроде нет никакого механизма поиска там в таком ракурсе.

    Еще хочу напомнить о "хитрых" детектах. Вы стопроцентно помните случай (в последние полгода), когда некий антивирус ***32 детектировал системный файл в системной папке как патчед, а на VT его же он не детектировал.
     
    Последнее редактирование: 24 фев 2015
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    не мудрено, на VT свои настройки и похоже эвристики там не особо накручены.
     
  9. pasnad
    Оффлайн

    pasnad Новый пользователь

    Сообщения:
    18
    Симпатии:
    7
    Интересно и как это будет выглядит если один антивирус специально добавит в базу вирус что бы другие его добавили что бы потом убить всю систему как это сделала антивирус касперский для того что бы убрать свойх конкурентов я считаю что на до оставить как есть
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Ничего не будет. Как был кругооборот кражи детектов в природе, так он и останется. Такой ход будет просто PR акцией
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    сам спросил, сам ответил... и к чему относилась фраза надо оставить как есть вообще не понятно.
     

Поделиться этой страницей