Когда мы устанавливаем антивирус на наш компьютер, мы делаем это с намерением, чтобы он отвечал за контроль безопасности ПК, обнаружение любых возможных угроз и их устранение, пока не стало слишком поздно. Помимо огромных баз данных, антивирусы используют эвристические системы, способные анализировать поведение файлов и обнаруживать невиданные ранее вредоносные программы. Однако эти интеллектуальные системы анализа могут обнаруживать угрозы там, где их нет, и помечать файлы, которые действительно заслуживают доверия, как опасные. Это то, что известно как ложное срабатывание .
Что такое ложное срабатывание антивируса
Как следует из названия, ложное срабатывание появляется, когда антивирус считается, что законный и надежный файл представляет собой угрозу . Таким образом, вы заблокировали, поместили в карантин или удалили его.
Все антивирусы склонны генерировать более или менее ложные срабатывания, хотя это во многом зависит от качества его программирования и от механизмов сканирования, основанных на эвристике. Некоторые антивирусы, например Windows Defender, Avira или Kaspersky, как правило, предлагают пользователям очень мало ложных срабатываний, поскольку они менее строгие эвристические системы , в то время как Avast, AVG, Trend Micro или Panda генерируют тревожное количество ложных срабатываний, согласно последним тестам AV. -Сравнения, за то, что они были более строгими.
Неплохо, что антивирус обнаруживает ложные срабатывания, точно так же, как не хорошо, что он их не обнаруживает. Компания по безопасности должна настроить эвристику своих программ безопасности так, чтобы она была достаточно строгой, чтобы не допустить скрытых угроз, но не настолько строгой, чтобы утомлять пользователя фальшивыми предупреждениями об угрозах.
Причины, которые их порождают
Здесь очень много причины ложных срабатываний . Наиболее распространены:
- Ассоциация использование компиляторов, компрессоров и упаковщиков обычно используется хакерами. Эти упаковщики используются разработчиками для защиты своего программного обеспечения, но они также используются хакерами. По этой причине антивирус часто обнаруживает исполняемые файлы, которые использовали этот тип инструмента, как возможные угрозы.
- Установщики с рекламой или спонсируемые программы также могут быть обнаружены программами безопасности как поддельное рекламное ПО или ПНП.
- Программы, вносящие изменения в систему . Поскольку вирусы обычно изменяют системные файлы (особенно библиотеки DLL), если программа пытается их изменить, даже если это надежно, эвристические системы обнаруживают подозрительное поведение и, следовательно, сообщают о ложном срабатывании.
- Использование очень строгая эвристика . Антивирусы обычно имеют несколько уровней эвристики. Чем более снисходительно, тем меньше вероятность обнаружения угрозы, которая пытается проникнуть на ПК, хотя чем строже мы ее настраиваем, тем больше ложных срабатываний мы получим.
- Ассоциация инструменты для взлома обычно делают длинные прыжки антивирусные сигналы, даже если надежные программы, которые мы запускаем у нас. Причина проста: программа безопасности не знает, выполняем ли мы их или они являются частью компьютерной атаки. А в случае сомнений лучше заблокировать.
- Активаторы, генераторы ключей и неавторизованное ПО В основном. Этот тип контента очень часто содержит скрытые угрозы. И либо потому, что он вносит изменения в системные файлы, потому что он был упакован с использованием инструментов, общих для хакеров, либо потому, что он фактически скрывает вредоносное ПО, он почти всегда вызывает тревогу программного обеспечения безопасности.
В чем опасность ложного срабатывания?
Хотя обычно ложное срабатывание защищает нас от возможной угрозы, когда антивирус не уверен, что это что-то действительно надежное. Однако иногда эти ложные срабатывания также могут быть проблемой для нашего компьютера.
Первое, что нужно иметь в виду, это то, что если антивирус обнаруживает возможную угрозу в файле, мы не должны разблокировать его, если мы не уверены на 100% что это надежный файл. Может случиться так, что мы скачали игру или программу из Интернета нелегально, и наше программное обеспечение определило их как угрозу. Как бы нам ни советовали разрешить это, лучше этого не делать, так как мы не знаем, пытается ли хакер нас обмануть.
Вдобавок к этому может случиться так, что наша программа безопасности обнаружит программы, которые заслуживают доверия как возможные угрозы, либо из-за их внутреннее функционирование или потому что есть конфликт с цифровой подписью программы, которая подает сигналы тревоги эвристических систем. . Это уже происходило в некоторых случаях с такими программами, как Ccleaner, IObit или uTorrent, которые были отмечены некоторыми антивирусами как угрозы.
Даже в худшем случае может случиться так, что неисправность в двигателе обнаружит DLL файлы или исполняемый файлов из программ или из самой Windows как подозрительно. Иногда это уже случалось, и последствия были катастрофическими, в худшем случае даже переустановка Windows с нуля. К счастью, такой тип проблем встречается нечасто.
Как с ними бороться
Если наша программа безопасности заблокировала файл, который мы загрузили из Интернета, исполняемый файл или библиотеку DLL, первое, что мы должны сделать, это спросить себя, действительно ли это надежно? Если мы скачали его с веб-сайта разработчиков или из их официального репозитория GitHub, вероятно, да. Тем не менее, прежде чем разблокировать его, мы должны убедиться на 100%, что он действительно законный.
Мы также можем прибегнуть к использованию второго антивируса, чтобы получить второе мнение о безопасности файла. Например, мы можем отправить файл для анализа на VirusTotal чтобы проверить с более чем 50 антивирусами одновременно, действительно ли файл надежен. Если несколько антивирусов обнаруживают угрозу, значит, что-то скрыто.
Как избежать ложных срабатываний
Есть только два способа избежать появления этих ложных предупреждающих сообщений. Первый из них - убедиться, что мы всегда загружаем известное и надежное программное обеспечение и файлы. Наиболее распространенные программы обычно всегда заносятся антивирусом в белый список, чтобы вместе с ними не срабатывала сигнализация.
И второй способ - снизить чувствительность эвристического анализа. В конфигурации некоторых из этих программ (не всех) мы можем найти возможность снижения этой чувствительности. Чем ниже чувствительность, тем меньше у нас будет ложных срабатываний, хотя, в свою очередь, мы можем упустить возможные неизвестные угрозы. Этот параметр следует использовать с большой осторожностью.
