„Fałszywe alarmy” mają miejsce, gdy plik jest oznaczany jako niebezpieczny lub złośliwy, podczas gdy w rzeczywistości jest całkiem bezpieczny. Każdy, kto kiedykolwiek miał do czynienia z oprogramowaniem antywirusowym, spotkał się kiedyś z fałszywymi alarmami. Do dziś wciąż otrzymuję liczne komentarze od użytkowników, którzy chcą wiedzieć, czy plik (zwykle plik wykonywalny), który został oflagowany przez jeden lub więcej silników antywirusowych za pośrednictwem VirusTotal jest złośliwy czy nie.
Teraz VirusTotal skanuje pliki za pomocą wielu silników antywirusowych, zwykle od 60 do 70 różnych silników antywirusowych, i jeśli tylko jeden lub dwa oznaczają plik jako szkodliwy, a wszystkie pozostałe zapewniają mu czysty rachunek za stan zdrowia , moja rada jest taka, że najprawdopodobniej jest to fałszywy alarm, zwłaszcza jeśli te silniki antywirusowe oznaczające plik jako złośliwy należą do mniej znanej odmiany.
Jak występują fałszywe alarmy
Rozwiązania antywirusowe z natury błądzą po stronie ostrożność, co jest dobre. Lepiej być bezpiecznym niż potem przepraszać. Jednak często może to prowadzić do fałszywych alarmów opartych po prostu na wzorcu zachowania pliku wykonywalnego oraz niezdolności programu antywirusowego do oceny, czy to zachowanie ma złośliwe zamiary.
Typowym przykładem jest oprogramowanie do odzyskiwania hasła, takie jak MailPassView firmy NirSoft. Ponieważ tego typu oprogramowanie ma zdolność ujawniania ukrytych haseł, może oczywiście zostać wykorzystane do złośliwych celów, gdy znajdzie się w niepowołanych rękach. W ten sposób rozwiązania antywirusowe postrzegają sytuację i w konsekwencji oznaczają oprogramowanie jako złośliwe. Jednak wielu użytkowników używa MailPassView do odzyskiwania własnych zapomnianych haseł e-mail, co wcale nie jest złośliwe, wręcz przeciwnie.
Rozwiązania antywirusowe nie obejmują możliwości rozróżnienia między możliwym złośliwym użyciem a tym, kiedy użytkownik jest po prostu próbują odzyskać własne hasła, więc, jak wspomniałem, popełniają błąd i zawsze oznaczają tego typu oprogramowanie jako złośliwe.
Wykrywanie heurystyczne
Wszystkie nowoczesne rozwiązania antywirusowe zawierać komponent oznaczający elementy na podstawie cech behawioralnych, znany jako wykrywanie heurystyczne. Ten rodzaj ochrony jest bardzo skuteczny w przypadku zagrożeń typu zero-day (wcześniej nieznanych), ale jest również podatny na popełnianie okazjonalnych błędów. Te sporadyczne błędy są znane jako fałszywe alarmy.
Skąd możesz być pewien?
Jeśli nie masz pewności, VirusTotal to wspaniałe źródło informacji, które pozwala uzyskać jasne wskazanie, czy plik (plik wykonywalny) jest złośliwy, czy nie. Niezależnie od tego, jeśli instalujesz program po raz pierwszy, a zwłaszcza jeśli oprogramowanie jest względnie nieznane, przed instalacją zawsze powinieneś przeskanować plik instalacyjny za pomocą VirusTotal.
Za każdym razem, gdy testuję oprogramowanie w DCT mając na uwadze recenzję, zawsze najpierw skanuję plik wykonywalny (plik instalacyjny) przez VirusTotal, aby upewnić się, że można go bezpiecznie polecić.
—