Avast публично принесла извинения за выпуск дефектного файла с новыми сигнатурами (обновление 110411-1). После его установки антивирусы компании начали блокировать доступ ко многим легальным ресурсам, содержащим скрипты и фреймы, включая сайт техподдержки самой компании.

Следует отдать должное оперативности чешских разработчиков: они пофиксили неудачный апдейт в течение часа. Пользователям Avast, которые все еще не знают, как избавиться от множественных ложных срабатываний, рекомендуется повторно обновить антивирусную базу, запустив процедуру вручную. По оценке компании, число пострадавших составляет 4% клиентской базы. С учетом того, что продуктами Avast пользуются около 130 млн. владельцев ПК по всему миру, это немалое количество.

По утверждению разработчиков, их ошибка отразилась лишь на работе веб-экрана и не должна была затронуть локальные файлы. Однако участники дискуссии, развернувшейся в блоге компании, жалуются не только на отсутствие доступа к веб-ресурсам, но также на системные сбои и потерю массы рабочих файлов, хранившихся на компьютере, ― преимущественно в htm-формате.

Продавцы поддельных антивирусов не преминули воспользоваться растерянностью пользователей, когда тысячи ПК вышли из строя и потеряли связь с Сетью из-за ошибки только что обновленного антивируса McAfee.

Поиск в Google по ключевым словам 'McAfee', '5958' и 'DAT' неизменно выводил в первых результатах ссылки на редиректы, навязывающие все те же зловредные программы под видом важной информации или помощи в решении проблемы. По словам экспертов Trend Micro, верными признаками атаки путем подмены записей кэша в поисковой системе является заголовок страницы, повторяющий все ключевые слова поиска, и шаблон, по которому сгенерирован URL:

(http://<имя домена>/<путь>/<файл>.php?<ключ>=<ключевое слово>)

Всем, кто еще не знает, как восстановить работоспособность компьютерных ресурсов, отказавших в связи с инцидентом, рекомендуется обратиться в службу техподдержки McAfee или поискать ответы на свои вопросы непосредственно на сайте компании.

Вкратце о событии, вызвавшем прилив энергии у 'черных' оптимизаторов поиска. Несколько дней назад после рассылки штатного обновления для VirusScan Enterprise по всему миру прокатилась волна системных сбоев. Виновником оказался дефектный файл, который после установки вызвал ложное срабатывание. Один из ключевых системных процессов Windows был опознан антивирусом как новый зловред и безо всякого предупреждения отправлен в карантин.

По оценке McAfee, число пострадавших не превысило 0,5% клиентской базы. В основном, это владельцы корпоративных ПК под ОС Windows XP SP3, на которых установлена версия VirusScan 8.7 и включена опция Scan Processes on Enable ('проверка текущих процессов при запуске'). Тем не менее, деятельность многих организаций и бизнес-структур была приостановлена, так как многие сегменты их сетей не функционировали.

McAfee принесла извинения и приняла срочные меры по исправлению ситуации. По ее оценкам, большинство пострадавших ресурсов уже восстановлено, однако процесс осуществляется вручную и на каждой машине занимает около получаса. Сотрудники компании заняты доработкой автоматической системы контроля качества обновлений и готовят 'белые списки' критических файлов, чтобы инцидент больше не повторился.

Приходилось ли вам сталкиваться с ложными срабатываниями при загрузке файлов на такие сайты, как VirusTotal? Бывает, что файл неверно определяется как вредоносный не одним сканером, а несколькими. В результате возникает абсурдная ситуация, когда каждый продукт, не детектирующий такой файл, автоматически предстает в невыгодном свете перед пользователями, не понимающими, что дело не в пропуске вредоносного файла одним продуктом, а в ложном срабатывании других.

Как это ни печально, с подобной ситуацией зачастую приходится сталкиваться и при тестировании антивирусных продуктов, особенно в статических тестах, основанных на проверке по требованию. Коллекции вредоносных программ, используемые в подобных тестах, могут насчитывать сотни тысяч файлов. Естественно, валидация такого большого числа образцов требует значительных ресурсов. Поэтому большинство тестовых лабораторий имеют возможность проверить лишь часть файлов. А что же остальные? Единственный способ разделить файлы на категории — это сочетать репутационную оценку источника и проверку несколькими антивирусными решениями. Как и в приведенном выше примере с VirusTotal, это означает, что любая компания, решения которой не детектируют образцы, детектируемые продуктами других компаний, будет выглядеть неубедительно — даже если на самом деле образцы испорчены или совершенно чисты.

Значимость хороших результатов тестирования продуктов для антивирусных компаний трудно переоценить. Поэтому в нынешней тенденции добавлять обнаружение файлов на основе результатов проверки несколькими антивирусными сканерами нет ничего удивительного. Конечно, антивирусные компании, в том числе и «Лаборатория Касперского», уже не первый год проверяют подозрительные файлы и продуктами других вендоров. Несомненно, знать, каковы результаты проверки файлов чужими сканерами, полезно. Например, если продукты десяти антивирусных компаний определяют подозрительный файл как троянец-загрузчик, это дает вам отправную точку при анализе этого файла. Но сейчас мы видим вовсе не это: подстегиваемые необходимостью добиваться хороших результатов в тестах, антивирусные компании последние годы стали все чаще прибегать к проверке файлов сканерами от разных вендоров для определения вредоносности. Конечно, никому эта ситуация не нравится: в конечном счете, наша задача — защищать пользователей, а не использовать слабые места методик тестирования себе во благо.

Именно поэтому один немецкий компьютерный журнал провел эксперимент, результаты которого были объявлены на конференции по безопасности, прошедшей в прошлом октябре. Суть эксперимента заключалась в следующем: был создан чистый файл, нас попросили добавить в базы запись, позволяющую детектировать (неверно) этот файл. Затем файл был загружен на VirusTotal. Спустя несколько месяцев этот файл детектировался на VirusTotal более чем 20 сканерами. После этого сообщения представители нескольких антивирусных компаний, присутствовавшие на мероприятии, согласились, что необходимо найти решение этой проблемы. Но детектирование на основе проверки несколькими сканерами — лишь симптом: корень проблемы лежит в самой методике тестирования.

К сожалению, в этой области у антивирусных компаний чрезвычайно ограниченные возможности. Ведь тесты заказывают журналы. Если есть выбор между дешевым статическим тестом на коллекции из миллиона образцов (звучит внушительно, но некоторым образцам уже несколько месяцев) и дорогим динамическим тестом с меньшим числом образцов, прошедших валидацию и еще не включенных в антивирусные базы, большинство журналов выберут первый вариант.

Как я уже говорил, антивирусные компании, как и большинство тестовых лабораторий, знают о проблеме, и она их совсем не радует. Именно в целях совершенствования методик тестирования два года назад несколько антивирусных компаний (в их числе и наша), а также независимых исследовательских и тестовых организаций создали — Организацию по стандартам тестирования антивирусных решений (Anti-Malware Testing Standards Organization — AMTSO). И все же ключевая роль принадлежит журналистам. Вот почему мы решили проиллюстрировать проблему на нашем недавнем пресс-туре в Москве, на который были приглашены журналисты со всего мира. Конечно же, нашей целью было не дискредитировать другие антивирусные компании (приводились, в частности, примеры того, как наши продукты детектировали файл только потому, что его детектировали решения других компаний), а продемонстрировать негативные последствия проведения дешевых тестов, основанных на проверке по требованию.

То, что мы сделали, в большой степени повторяло прошлогодний опыт немецкого журнала, только на большем числе образцов. Мы создали 20 чистых файлов и добавили ложное детектирование для десяти из них. В течение следующих нескольких дней мы неоднократно загружали эти двадцать файлов на VirusTotal. Через десять дней все 10 детектируемых нами (но не вредоносных) файлов детектировались решениями максимум 14 других антивирусных компаний. В некоторых случаях это можно было объяснить настроенными на обнаружение максимального числа файлов эвристиками, но практика добавления в базы образцов, детектируемых несколькими антивирусными решениями, несомненно, повлияла на результат. Мы раздали журналистам использованные нами образцы, чтобы дать им возможность самим провести тесты. Мы понимали, что это может быть связано с определенным риском: поскольку в своем отчете мы также касались вопросов интеллектуальной собственности, существовала опасность, что журналисты сосредоточатся на том, кто у кого копирует данные, а не на главной проблеме (добавление в базы файлов, детектируемых несколькими антивирусными решениями, — это симптом болезни, а не причина ее). Но, в конце концов, именно журналисты имеют возможность заказывать более совершенные тесты, так что с чего-то надо было начать.

Итак, каковы перспективы? Хорошая новость состоит в том, что в последние несколько месяцев некоторые тестовые лаборатории приступили к разработке новых методик тестирования. Вместо статических тестов, основанных на проверке по требованию, они пытаются тестировать всю цепочку защитных компонентов: модуль антиспама -> «удаленная» (in the cloud) защита -> сигнатурная защита -> эмуляция -> поведенческий анализ в режиме реального времени и т.д. В конечном счете, дело за журналами: им следовало бы заказывать подобные тесты и отказываться от устаревших подходов.

Если удастся избавиться от статических тестов, основанных на проверке по требованию с применением массы не прошедших валидацию образцов, копирование чужой классификации файлов как минимум значительно сократится, а результаты тестов станут больше соответствовать действительности (даже если это означает, что придется попрощаться с уровнями обнаружения 99,x%). В конечном счете, это принесет пользу всем: прессе, пользователям и, конечно, антивирусным компаниям.

По мнению экспертов, проблема ложных срабатываний в антивирусах достигла такой остроты, что без «белых списков» и «облачных» технологий на успех рассчитывать не приходится.

Число интернет-угроз растет, и они становятся все опаснее. В минувшем году, как и в предыдущем, исследователи «Лаборатории Касперского» обнаружили около 15 млн. новых вредоносных программ. Когда ежедневные порции новых детектов измеряются десятками тысяч, частота обновления антивирусных баз серьезно увеличивается, возрастает и вероятность ложных срабатываний. В современных антивирусах большинство процессов автоматизировано, но это не дает 100%-ной гарантии от ошибок.

Решить проблему помогают «белые списки» — коллекции гарантированно чистых файлов. Однако количество чистых файлов бесконечно велико, и, чтобы справиться с этими массивами, нужны значительные мощности и объем памяти. Такими ресурсами в настоящее время располагают только «облачные» сервисы. Даже если ложное срабатывание произошло, внести в «облачную» базу изменения — секундное дело.

Ведение «белых списков» и переход на «облачный» уровень увеличивают фронт работ для антивирусных компаний. Но что поделать, пользователь не любит ложных срабатываний. Время сканеров и мониторов уходит, им на смену уже пришли гибридные, многоуровневые решения, способные обеспечить достойную защиту в условиях роста сетевой агрессии.

Антивирус McAfee принимал за вредоносные программы файлы Microsoft Excel в течение нескольких часов в минувшую пятницу, сообщает сайт News.com. По словам представителя антивирусного разработчика Джо Телафичи (Joe Telafici), программа определяла Excel-файлы как вирус под названием W95/CTX.

«Около 13:00 мы начали получать отчеты о том, что пользователи сталкиваются с необычно высоким числом заражений вирусом W95/CTX. Файлы, выявленные нашим антивирусом, в зависимости от настроек программы должны либо удаляться, либо помещаться на карантин», — заявил Телафичи. Помещая файлы на карантин, McAfee переименовывает их и перемещает в другую папку. В пятницу к числу вредоносных был отнесен целый ряд исполнительных файлов обычных программ, в том числе Excel.exe, Graph.exe и AdobeUpdateManager.exe.

Около 100 индивидуальных и корпоративных клиентов проинформировали McAfee о возникшей проблеме. В 14:30 разработчики автоматически отменили для индивидуальных пользователей обновление с ошибкой, а еще через час сделали то же самое для корпоративных пользователей.

Проблема затронула антивирусные продукты только для рабочих станций. Сетевые антивирусы, работающие с электронной почтой, проблем у пользователей не вызывали. Кроме того, оказалось, что некорректное определение вредоносных программ случалось только либо во время планового, либо во время принудительного антивирусного сканирования. В режиме постоянного мониторинга системы антивирус работал правильно.

Проблемы, подобные тем, что возникли в пятницу у McAfee, называются фальшивыми позитивами. В среднем McAfee обращается к своим пользователям с предупреждением о фальшивых позитивах раз в три месяца. Разработчики выявили причину ошибки и надеются избежать ее в будущем. Ошибочный файл распознавания вирусов 4715 был выпущен в 10:45. В 15:30 McAfee выпустила скорректированный файл 4716.

Около 50 тысяч пользователей межсетевых экранов ZoneAlarm Pro и ZoneAlarm Security Suite столкнулись с серьезными проблемами в работе своих компьютеров после загрузки последнего обновления для защитных программ. Проблемы возникали сразу после того, как пользователи устанавливали новую версию Program Advisor для ZoneAlarm, которая выходит ежедневно. Ситуация возникла по вине инженеров Zone Labs, которые не обнаружили сбой в программном обновлении и сделали его доступным для пользователей, сообщает News.com. «Мы столкнулись с чем-то вроде нарушения процессов», — описал проблему генеральный менеджер Zone Labs Грегор Фройнд (Gregor Freund).

Ежедневное обновление Program Advisor представляет собой список программ, которые могут быть установлены на компьютер без каких-либо дополнительных действий пользователя. Большинство пользователей, столкнувшихся с нарушениями в работе компьютеров, находились в Азии. Это объясняется тем, что обновление вышло утром, и пользователи загружали его одновременно с включением компьютера, отметил Фройнд.

После обращений ряда пользователей Zone Labs обратила внимание на возникшую проблему и через несколько часов выпустила новое обновление, которое устанавливалось на компьютер при перезагрузке. Проблема коснулась пользователей только коммерческих версий ZoneAlarm, поскольку в бесплатной версии этой программы нет функции Program Advisor.