Polecam te kilka historii o programach antywirusowych i ich błędnym funkcjonowaniu, w szczególności chodzi tutaj o fałszywe detekcje (z ang. false positive detection), które dręczą od lat twórców oprogramowania (niekoniecznie zaszyfrowanego).
ProtectionID i copy&paste
Jak autor ProtectionID znalazł się w tarapatach, gdy tylko jeden antywirus na VirusTotal oznaczył błędnie jego plik jako malware, a reszta antywirusów jedynie podchwyciła hash pliku i bez namysłu otagowała pliki również jako malware – analiza metodą kopiuj i wklej 😉
Tuts4You
Dyskusja na forum Tuts4You o tym w jaki sposób uniknąć oznaczenia oprogramowania jako false positive:
https://forum.tuts4you.com/topic/37417-mitigating-false-positives
at0mos
O miłości i nienawiści do AV, zwłaszcza zamulającego AV 😉
http://atom0s.com/forums/viewtopic.php?f=2&t=85
Nir
Autor popularnych narzędzi systemowych publikował swego czasu listę fałszywych detekcji, ale ze względu na ilość tego rodzaju incydentów przestał to robić. Mimo, że to starsze wpisy, warto na to zwrócić uwagę, gdyż jego oprogramowanie to „czyste” – binaria EXE, wprost z kompilatora, jego oprogramowanie jest bardzo popularne, a mimo to do dzisiaj dostaje mu się z niewiadomych przyczyn przez oprogramowanie AV.
http://www.nirsoft.net/false_positive_report.html
http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/
Po co oprogramowanie antywirusowe? Po nic!
Wyłania się z tego obraz oprogramowania, które do niczego nie jest potrzebne, zwalnia działanie komputera, a jego zasada funkcjonowania bazuje na kopiowaniu nielicznych cudzych detekcji i do tego fałszywych! Sprawę tą poruszyła również firma Kaspersky, która „wrobiła” konkurentów bezmyślnie kopiujących ich detekcje bez dodatkowej analizy:
http://www.reuters.com/article/2015/08/14/us-kaspersky-rivals-idUSKCN0QJ1CR20150814
Osobiście używałem oprogramowania antywirusowego tylko wtedy, gdy dostałem pierwszy komputer od rodziców, jednak nawet wtedy zainstalowane oprogramowanie, chyba to był F-Prot, nie uchronił mnie przed infekcją wirusa CIH. Od tamtego czasu przestałem korzystać z jakiegokolwiek oprogramowania antywirusowego i przez te wszystkie lata miałem słownie 1 infekcję poprzez autorun na jakimś USB. Nieźle jak na tak długi czas. Do dzisiaj niewiele się w tym temacie zmieniło, na co najlepszym przykładem są wirusy jak Stuxnet i Duqu, których oprogramowanie AV nie wykrywało bo ich nie znało. Tak – oprogramowanie antywirusowe musi znać wirusa, żeby poprawnie go wykrywać i usuwać skutki infekcji. Brednie o behawioralnym wykrywaniu nowych zagrożeń można wsadzić między marketingowe bajki, bo jedyne co z tego wynika to sterty false positive detections, które krzywdzą twórców normalnego oprogramowania.
Warto się zastanowić następnym razem czy instalować u siebie czy rodziny jakiekolwiek oprogramowanie antywirusowe, które nie radzi sobie z detekcją wirusów o ile konkurencja wcześniej tego nie wykryje, dodatkowo sprawiając, że komputer będzie mulił wiecznym skanowaniem w poszukiwaniu nieznanych wirusów, których i tak nie jest w stanie wykryć.
Najlepszym antywirusem jest po prostu system unixowy i kropka.
Tyle lat i faktycznie nic się nie zmieniło. False positive jest nadal. Rzeczywiście unix jest najmniej podatny na infekcję, dlatego, że jest zrobiony z głową. Jak wiedzie, po latach, już są wirusy na linuksy. Zwłaszcza te niedopracowane dystrybucje. Jednakże, w 2020 roku. Jak ktoś używa Windowsa 10 czy choćby 7, to niestety bez antywirusa ani rusz. Rozwiązań są setki. Jednym pasują te darmowe, inni stawiają na płatne. Płatne bardzo dobrze sobie radzą z heurystyką i wykrywaniem oraz są dopasowane do zasobów komputera. Oczywiście nie wszystkie. Mam tu na myśli głównie słowacki ESET, czy też amerykański WEBROOT. Dużo obecnych antywirusów jest w porządku, ale wymaga jednak dość sporych zasobów – jak G-DATA. Na rynku zwykłego użytkownika systemu nie radzi sobie kompletnie KASPERSKY, którego rozwiązania po prostu rozwalają system operacyjny.