Po co jest antywirus? Po nic!

not-sure-it-is-new-discovery-or-just-false-positivePolecam te kilka historii o programach antywirusowych i ich błędnym funkcjonowaniu, w szczególności chodzi tutaj o fałszywe detekcje (z ang. false positive detection), które dręczą od lat twórców oprogramowania (niekoniecznie zaszyfrowanego).

ProtectionID i copy&paste

Jak autor ProtectionID znalazł się w tarapatach, gdy tylko jeden antywirus na VirusTotal oznaczył błędnie jego plik jako malware, a reszta antywirusów jedynie podchwyciła hash pliku i bez namysłu otagowała pliki również jako malware – analiza metodą kopiuj i wklej 😉

http://pid.gamecopyworld.com/

Tuts4You

Dyskusja na forum Tuts4You o tym w jaki sposób uniknąć oznaczenia oprogramowania jako false positive:

https://forum.tuts4you.com/topic/37417-mitigating-false-positives

at0mos

O miłości i nienawiści do AV, zwłaszcza zamulającego AV 😉

http://atom0s.com/forums/viewtopic.php?f=2&t=85

Nir

Autor popularnych narzędzi systemowych publikował swego czasu listę fałszywych detekcji, ale ze względu na ilość tego rodzaju incydentów przestał to robić. Mimo, że to starsze wpisy, warto na to zwrócić uwagę, gdyż jego oprogramowanie to „czyste” – binaria EXE, wprost z kompilatora, jego oprogramowanie jest bardzo popularne, a mimo to do dzisiaj dostaje mu się z niewiadomych przyczyn przez oprogramowanie AV.

http://www.nirsoft.net/false_positive_report.html

http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/

 

Po co oprogramowanie antywirusowe? Po nic!

Wyłania się z tego obraz oprogramowania, które do niczego nie jest potrzebne, zwalnia działanie komputera, a jego zasada funkcjonowania bazuje na kopiowaniu nielicznych cudzych detekcji i do tego fałszywych! Sprawę tą poruszyła również firma Kaspersky, która „wrobiła” konkurentów bezmyślnie kopiujących ich detekcje bez dodatkowej analizy:

http://www.reuters.com/article/2015/08/14/us-kaspersky-rivals-idUSKCN0QJ1CR20150814

Osobiście używałem oprogramowania antywirusowego tylko wtedy, gdy dostałem pierwszy komputer od rodziców, jednak nawet wtedy zainstalowane oprogramowanie, chyba to był F-Prot, nie uchronił mnie przed infekcją wirusa CIH. Od tamtego czasu przestałem korzystać z jakiegokolwiek oprogramowania antywirusowego i przez te wszystkie lata miałem słownie 1 infekcję poprzez autorun na jakimś USB. Nieźle jak na tak długi czas. Do dzisiaj niewiele się w tym temacie zmieniło, na co najlepszym przykładem są wirusy jak Stuxnet i Duqu, których oprogramowanie AV nie wykrywało bo ich nie znało. Tak – oprogramowanie antywirusowe musi znać wirusa, żeby poprawnie go wykrywać i usuwać skutki infekcji. Brednie o behawioralnym wykrywaniu nowych zagrożeń można wsadzić między marketingowe bajki, bo jedyne co z tego wynika to sterty false positive detections, które krzywdzą twórców normalnego oprogramowania.

Warto się zastanowić następnym razem czy instalować u siebie czy rodziny jakiekolwiek oprogramowanie antywirusowe, które nie radzi sobie z detekcją wirusów o ile konkurencja wcześniej tego nie wykryje, dodatkowo sprawiając, że komputer będzie mulił wiecznym skanowaniem w poszukiwaniu nieznanych wirusów, których i tak nie jest w stanie wykryć.