В конце прошлой недели многие пользователи «Антивируса Касперского» обнаружили, что их операционная система функционирует некорректно. Причиной проблем стало антивирусное обновление, ошибочно определяющее файл explorer.exe, как вредоносную программу. В «Лаборатории Касперского» оперативно устранили ошибку, однако многие пострадавшие потратили на восстановление работоспособности Windows не один час.
Многие пользователи «Антивируса Касперского» в конце прошедшей недели могли столкнуться с тем, что установленная у них Windows осталась без «Рабочего стола», меню «Пуск» и «Панели задач». Причиной проблем стало некорректное обновление антивируса, выпущенное «Лабораторией Касперского» 19 декабря около 22:00 по московскому времени. В течение примерно двух часов ошибка была устранена, а 20 декабря на сайте компании было опубликовано официальное сообщение, а также руководство по самостоятельному устранению проблем.
Несмотря на оперативное исправление антивирусных баз, многие пострадавшие от работы антивируса пользователи потратили большое количество времени на восстановление работоспособности системы. Посетители многих русских и зарубежных новостных сайтов и форумов — CNews, The Register и др. — жаловались, что многие часы пытались привести свою ОС в нормальное состояние. Особенно трудно пришлось тем, чей антивирус автоматически удалял на своем компьютере зараженные файлы.
Содержащие в себе ошибки обновления антивирусных баз распространяются производителями довольно часто. Один из последних наиболее масштабных инцидентов такого рода произошел в Китае. 18 мая 2007 г. на миллионы компьютеров республики с установленным Symantec Norton Antivirus загрузилось некорректное обновление, в результате чего антивирус распознал ряд системных файлов Windows XP как вредоносное ПО и удалил их.
Продукт `Лаборатории Касперского` - не единственный, сталкивающийся с проблемой ложных срабатываний
В «Лаборатории Касперского» CNews заявили, что хотели бы еще раз извиниться перед пользователями, которых затронула эта проблема, отметив, что их число было небольшим, и в настоящее время обращений с этой проблемой практически нет. «К сожалению, проблема существует для всех антивирусных вендоров. В настоящий момент поток новых вирусов настолько велик, что антивирусные лаборатории с трудом с ним справляются. При этом, учитывая скорость распространения современных угроз, наиболее важными параметрами антивирусной защиты становятся проактивные технологии обнаружения новых неизвестных вирусов и скорость реакции на появление новых угроз (скорость добавления новых сигнатур в антивирусные базы)», объяснили в компании.
К сожалению, увеличивая скорость добавления новых сигнатур и наращивая возможности проактивных технологий, антивирусные компании неизбежно сталкиваются с проблемой ложных срабатываний: «Многочисленные примеры в антивирусной индустрии показывают, что ложные срабатывания случаются в практике всех антивирусных компаний, и основная задача максимально минимизировать их количество, а также возможные последствия для пользователей. «Лаборатория Касперского» уже в настоящий момент активно совершенствует систему тестирования для предотвращения ложных срабатываний в дальнейшем», заключил представитель антивирусного вендора.
По мнению Михаила Кондрашина, руководителя центра компетенции Trend Micro в России, ложные срабатывания антивирусных продуктов сегодня могут нанести даже больший вред пользователю, чем вредоносное ПО: «Сегодня вирусы ориентированы на генерацию прибыли для своих создателей, и они не заинтересованы в нанесении какого-то ущерба системе пользователя. Если, например, с каким-то конкретным типом онлайн-транзакций пользователь не работает, то и ориентированный на них вирус не сможет принести никакого вреда».
Говоря же о процессе создания обновлений для антивирусов, Кондрашин посоветовал не забывать о человеческом факторе, который неизбежно влияет на любой инженерный процесс: «Для минимизации вероятности возникновения проблем у своих клиентов антивирусные компании внедряют системы управления качеством ISO 9001», заключил эксперт.
По данным AV-Test интересно проследить корреляцию между скоростью реагирования тех или иных продуктов на новые угрозы и вероятностью ложных срабатываний. Опубликованная в декабре 2007 г. информация говорит о том, что продукты Symantec и CA, скорость обнаружения новых вирусов для которых составляет 6-8 и 12-14 часов соответственно, ошибаются в 0,00% и в 0.01% случаев. Разработка McAfee, реагируя 8-10 часов, допускает промахи в 0,02%, Trend Micro (6-8 часов) - 0,01%, Avira (2-4 часа) - 0,02%. Антивирусы, показавшие самый высокий уровень ложных срабатываний, взамен продемонстрировали наименьший (0-2 часа) интервал отклика на появление новых угроз: Kaspersky - 0,03%, BitDefender - 0,06%. Zone Alarm - 0,06%.