Обратной стороной проактивных антивирусных технологий являются ложные срабатывания антивирусных программ. Результаты обнаружения неизвестных вредоносных программ различными антивирусами открыто публикуются в сети. Однако важно понимать, что тестирования на ложные срабатывания не могут считаться показателем эффективности работы антивирусного программного обеспечения.
Популярная в Китае тестовая лаборатория PC Security Labs, являющаяся независимой исследовательской организацией, провела тестирование на ложные срабатывания некоторых антивирусных программ, пользующихся наибольшей популярностью в Китае.
В ходе тестирования проверялись статические срабатывания антивирусных программ на чистые файлы, а также ложные срабатывания проактивной защиты. Антивирусные программы могут принять чистый файл или неопасную программу за вредоносную, и в таком случае возникает ложное срабатывание. В некоторых случаях такие действия антивируса могут привести к выходу из строя операционной системы или программного обеспечения. Тем не менее, эффективность защиты антивируса не может определяться только лишь тестом на ложные срабатывания.
Перед началом тестирования была совершена установка последних версий программного обеспечения, также были обновлены антивирусные базы. Процесс установки и запуска пользовательских программ подвергся проверке, равно как и база чистых файлов.
Результатом проведённого тестирования стала выдача наград: пять, четыре и три звезды.
Пять звезд получили антивирусы, допустившие два или меньше ложных срабатываний, четыре звезды получили продукты, показавшие 3-4 срабатывания, три звезды: 5-6 срабатываний.
В отчете опубликованы также компании-разработчики, продукты которых не прошли тест по причине большого количества ложных срабатываний: AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira, Coranti.
Специалисты в области разработки антивирусного программного обеспечения также предоставляют свои комментарии на тему ложных срабатываний антивирусов.
Технический руководитель Zillya!, одного из проектов, который принимал участие в тестировании, Олег Сыч:
«Ложные срабатывания антивирусных программ — это большая головная боль всех антивирусных компаний. Зачастую удаление антивирусом какого-то полезного файла системы или используемого программного обеспечения для пользователя хуже, чем то, что антивирус пропустит какую-то троянскую программу. С целью минимизации случаев ложного срабатывания наших антивирусных продуктов, мы постоянно увеличиваем мощности тестового центра антивирусной лаборатории, в котором проходят тестирования все вирусные записи, перед тем как попасть в обновление антивирусных баз».
Компании-разработчики антивирусного программного обеспечения активно и динамично ищут новые пути устранения неполадок такого плана, однако полностью исключить ложные срабатывания не удается никому. Всё дело в методе эвристического анализа, технология которого позволяет обнаруживать ранее неизвестные инфекции. Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от вирусов, которые отсутствуют в сигнатурном наборе. Это происходит по причине использования в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме формирования кода, которая также не должна быть постоянной и видоизменяется при каждом новом заражении. Этот метод поиска базируется на эмпирических предположениях, по этой причине полностью исключить ложные срабатывания нельзя.
Еще одним методом обнаружения вредоносных программ, который может оказать положительное воздействие на минимизацию ложных срабатываний, является проведение поведенческого анализа. Деятельность программы подвергается проверке со стороны поведенческого анализатора. В случае если действия проверяемой программы подобны активности, которую вызывает вирус, поведенческий анализатор блокирует действия программы. Проведение такого анализа позволяет обнаружить вирус вне зависимости от его шифрования. Таким образом, вредоносная программа в любом случае выдаст себя подозрительным поведением. Такие программы чаще всего пытаются имитировать активность исполнительных программ – различных установщиков. Именно поэтому так важно контролировать возникновение ложных срабатываний антивирусов, ведь их действия по отношению к «чистым» программам могут быть весьма агрессивными, вплоть до автоматического удаления. Такие действия антивирусной программы могут и не причинить серьезных неудобств, удалив файл с десяти компьютеров. Другое дело, что удаление системного файла с десятков миллионов компьютеров может дорого стоить для пользователей… Стремление к минимизации случаев ложного срабатывания антивирусного программного обеспечения является одним из актуальных векторов развития компаний-разработчиков.
Популярная в Китае тестовая лаборатория PC Security Labs, являющаяся независимой исследовательской организацией, провела тестирование на ложные срабатывания некоторых антивирусных программ, пользующихся наибольшей популярностью в Китае.
В ходе тестирования проверялись статические срабатывания антивирусных программ на чистые файлы, а также ложные срабатывания проактивной защиты. Антивирусные программы могут принять чистый файл или неопасную программу за вредоносную, и в таком случае возникает ложное срабатывание. В некоторых случаях такие действия антивируса могут привести к выходу из строя операционной системы или программного обеспечения. Тем не менее, эффективность защиты антивируса не может определяться только лишь тестом на ложные срабатывания.
Перед началом тестирования была совершена установка последних версий программного обеспечения, также были обновлены антивирусные базы. Процесс установки и запуска пользовательских программ подвергся проверке, равно как и база чистых файлов.
Результатом проведённого тестирования стала выдача наград: пять, четыре и три звезды.
Пять звезд получили антивирусы, допустившие два или меньше ложных срабатываний, четыре звезды получили продукты, показавшие 3-4 срабатывания, три звезды: 5-6 срабатываний.
В отчете опубликованы также компании-разработчики, продукты которых не прошли тест по причине большого количества ложных срабатываний: AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira, Coranti.
Специалисты в области разработки антивирусного программного обеспечения также предоставляют свои комментарии на тему ложных срабатываний антивирусов.
Технический руководитель Zillya!, одного из проектов, который принимал участие в тестировании, Олег Сыч:
«Ложные срабатывания антивирусных программ — это большая головная боль всех антивирусных компаний. Зачастую удаление антивирусом какого-то полезного файла системы или используемого программного обеспечения для пользователя хуже, чем то, что антивирус пропустит какую-то троянскую программу. С целью минимизации случаев ложного срабатывания наших антивирусных продуктов, мы постоянно увеличиваем мощности тестового центра антивирусной лаборатории, в котором проходят тестирования все вирусные записи, перед тем как попасть в обновление антивирусных баз».
Компании-разработчики антивирусного программного обеспечения активно и динамично ищут новые пути устранения неполадок такого плана, однако полностью исключить ложные срабатывания не удается никому. Всё дело в методе эвристического анализа, технология которого позволяет обнаруживать ранее неизвестные инфекции. Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от вирусов, которые отсутствуют в сигнатурном наборе. Это происходит по причине использования в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме формирования кода, которая также не должна быть постоянной и видоизменяется при каждом новом заражении. Этот метод поиска базируется на эмпирических предположениях, по этой причине полностью исключить ложные срабатывания нельзя.
Еще одним методом обнаружения вредоносных программ, который может оказать положительное воздействие на минимизацию ложных срабатываний, является проведение поведенческого анализа. Деятельность программы подвергается проверке со стороны поведенческого анализатора. В случае если действия проверяемой программы подобны активности, которую вызывает вирус, поведенческий анализатор блокирует действия программы. Проведение такого анализа позволяет обнаружить вирус вне зависимости от его шифрования. Таким образом, вредоносная программа в любом случае выдаст себя подозрительным поведением. Такие программы чаще всего пытаются имитировать активность исполнительных программ – различных установщиков. Именно поэтому так важно контролировать возникновение ложных срабатываний антивирусов, ведь их действия по отношению к «чистым» программам могут быть весьма агрессивными, вплоть до автоматического удаления. Такие действия антивирусной программы могут и не причинить серьезных неудобств, удалив файл с десяти компьютеров. Другое дело, что удаление системного файла с десятков миллионов компьютеров может дорого стоить для пользователей… Стремление к минимизации случаев ложного срабатывания антивирусного программного обеспечения является одним из актуальных векторов развития компаний-разработчиков.