VirusTotal будет отслеживать false positive

    Авторитетный веб-ресурс VirusTotal, который является наиболее распространенным сервисом онлайн-проверки файлов и URL-ссылок различными AV-сканерами, внедрил дополнительный механизм уведомления о т. н. false positive. Под этим понятием подразумевается чистый (не зараженный) файл, обнаруживаемый (ошибочно) как вредоносная программа одним или несколькими антивирусными сканерами. Сами false positive являются довольно распространенным явлением и обнаружение с чистого файла может быть убрано вендором за несколько часов, тем не менее, такой подход вводит пользователя в заблуждение.



    Одним из механизмов, которые VirusTotal уже давно ввел для защиты от false positive, является голосование за статус файла. Пользователь сервиса или член сообщества может проголосовать за файл статусом «Вреден» или «Безвреден». Такой механизм проверки позволяет оценить достоверность вердиктов AV-сканеров, кроме этого, он помогает выявить потенциально вредоносные файлы еще до того, как они начнут обнаруживаться вендорами. В случае присутствия очень большого количества голосов «Безвреден» можно говорить о том, что файл чист, а если файл обнаруживается антивирусом, то мы имеем дело с false positive.

    Новая функция VirusTotal вводит дополнительную проверку на наличие false positive, а также показывает пользователю специальное уведомление. Такое уведомление показано ниже на скриншоте который был взят с блога VirusTotal, упоминавшегося выше. Речь идет о стандартном приложении Windows «калькулятор», которое сам сервис посчитал чистым, вне зависимости от вердикта AV-сканеров.



    Добавленная функция обнаружения чистых файлов основана на т. н. коллекции чистых файлов или их метаданных. Как следует из цитаты блога на VirusTotal, которая приведена ниже, компания Microsoft была первой, кто начал сотрудничать с VirusTotal и предоставлять информацию о своих доверенных файлах, что привело к распознаванию 6 тыс. чистых файлов.

    We have been working on this for just one week and with just one company, Microsoft, yet results look very promising: over 6000 false positives have been fixed. We would like to extend a big thank you to the Microsoft team for sharing metadata about its software collection and to the antivirus industry as a whole for the false positives remediation.
    ESET NOD32
    84.38
    Company
    Share post

    Comments 26

      0
      Кстати, работает. Месяца два тому назад проверял VLC установщик и он точно несколько вирусов находил. А теперь нет. Файл тот же самый, я засомневался в прошлый раз и отложил установку.
        0
        Это антивирусные компании добавили его в базу как false positive. Поэтому и не детектируется сейчас. Как я понял VirusTotal стрелочку отклоняет в зеленую сторону для известных безопасных файлов. Ну ещё и подпись доверенного источника файла имеется.
          +2
          Стрелка вроде как отклоняется голосовалкой.
            0
            Посмотрите на скриншот. Там 0 голосов а стрелка на зелёном.
              0
              Стрелка отклоняется от суммы факторов: голосование, количество детектов, категория файла (см.теги) и может что-то еще.
          0
          VLC установщик
          Была бы у него цифровая подпись, всё было бы гораздо проще.

          У них ещё и сайт по HTTP. Уж если отдача установщика по HTTPS затратна (хотя я не могу найти оправданий), хоть контрольную сумму по HTTPS можно было бы, а иначе какой смысл?
          HTTPS на сервере работает, даже с доверенным сертификатом. Но где 301 редирект? Где HSTS?
            0
            Но где 301 редирект? Где HSTS?

            Зачем это на сайте, который никакой информации у вас не спрашивает? Пожертвования через PayPal, загрузка файла через mirror-ресурсы. Ради чего ещё пытаться отдавать данный сайт по HTTPS?

            Уж если отдача установщика по HTTPS затратна (хотя я не могу найти оправданий)

            установщик (как и контрольные суммы) отдаётся с mirror-сайтов, которые HTTPS не поддерживают (возможно не все). например тот же mirror.yandex.ru даже не понимает что это такое. И да, контрольная сумма SHA-1 продублирована текстом на сайте.
              +1
              Линуксовым миррорам не нужен https, там цепочка подписей:releases подписан ключом миррора, в нем sha-1 для пакетов. Если не сходится, пакет не будет установлен, если releases не подписан, будет страшный варнинг.
          +1
          А ещё, надо было указать в статье, что Virustotal просят помочь им с коллекцией чистых файлов, так как это взаимосвязано.
            +5
            А если ботами станут накручивать голоса что файл безвреден?
              +1
              Ну результаты проверки антивирусами они не скрывают в зависимости от рейтинга.
              +5
              esetnod32 Извините, но Ваш антивирус уже очень давно лидер по ложным срабатывание на все ПО защищенное Themida — он на него ругается «Themida a variant of Win32/Packed.Themida suspicious» (пользователи не понимают и считают это вирусом). При этом 57 других антивирусов на virustotal считают такое ПО безвредным. А Ваша поддержка на это говорит, что не будет добавлять подобное ПО в белый список и пользователь должен сам это сделать.
                0
                а Themida предоставляет антивирусу информацию о реальном положении вещей внутри проверяемого ПО или так же скрывает это, как и от взломщиков?
                  +1
                  Я не знаю. Но факт в том, что другие антивирусы как-то справляются с задачей детектирования угрозы в защищенном Themida ПО.
                    +6
                    … или же фактически не проверяют?
                      +1
                      Своим вопросом Вы ставите под сомнения работу ведущих антивирусных компаний? т.е. по Вашему мнению они обманывают пользователей в безопасности использования такого ПО (зная, что зловреды могут маскироваться с помощью Themida).
                        +4
                        а вы им безоговорочно доверяете?
                          0
                          Нет, так как например новые вирусы на ранних стадиях не будут детектиться ни одним антивирусом. И выходит, что их авторам достаточно обернуть код Themida, чтобы обмануть все антивирусы кроме паникующего Eset?
                          +1
                          Предположим, есть три двери, и за каждой из них с равной вероятностью может не оказаться ничего, либо оказаться бомба, сдетонирующая сразу при открытии. Все двери плотно закрыты на замок, который для того чтобы узнать за дверью, нужно еще умудриться открыть. Открытие замка одной из дверей никак не влияет на успешность открытия замков от другой.

                          Внимание, вопрос: будет ли тратить время взломщик, задача которого просто определить в какую дверь входить не стоит, или автоматически повесит на все двери ярлык «не входить»?

                          Простите конечно, но в 90% случаев современное антивирусное ПО скорее поместит подозрительный файл в карантин, чем будет разбираться что там. Dr.Web например честно пишет про зашифрованные архивы что не может их открыть и сообщает об опасности нахождения там вредоносного кода.

                          Themida — как раз тот самый сложный замок, который антивирусное ПО не может (да по сути и не должно вскрывать), и если программа защищена по полной программе, то на попытку ее вскрытия априори уйдет довольно существенный ресурс. Тогда возникает другой вопрос — этичность подобного подходя для антивирусного ПО. Если у пользователя есть «ящики Пандоры», ему нужно об этом сообщить. Согласен, что не всегда нужно вешать сразу ярлык о вредоносности, и лучше всего как минимум, просто сообщить об этом, но де-факто, nod32 так и поступает, только не фразой на понятном языке, а стандартной строкой «Themida a variant of Win32/Packed.Themida suspicious».

                          Кстати, Темидой редко защищают ПО «народного пользования», во всяком случае я ни разу не встречал программу для «обывателя», запакованную и зашифрованную от декомпиляции. Как правило, те люди кто не понимает сообщение нода о подозрении, не всегда готовы пользоваться тем ПО, которое имеет такую защиту. Не вдаваясь в крайности, никто не застрахован и от того что даже нормальная программа может быть фальсифицирована, в нее может быть внедрен вирус намеренно и потом вся эта радость будет зашифрована. Вот как раз для таких случаев поведение нода я считаю оправданным.
                            0
                            Проблема в том, что Eset обычно стоит у корпоративных пользователей, и он им вообще не даёт обращаться к бизнес ПО защищенному Themida (также не даёт загружать из интернет и удаляет из почты на сервере). В результате понимающий корпоративный пользователь, зная, что это ложное срабатывание не может добавить такое ПО в белый список. А не понимающий считает производителя такого бизнес ПО злодеем и благодарит антивирус за свое спасение.
                              +2
                              Спасибо за уточнение.
                              В таком случае, проблему нужно решать на совсем ином уровне — на уровне руководства компаний. Влезать не буду, но лишь немного скептически замечу, что ничего не мешает на одном из каналов скомпрометировать это ПО, и нет гарантий что поставят именно то что было передано. Например, в тот же экзешник допишут пару лишних килобайт и опять Темидой пройдутся. Возможно я нагнетаю, но иногда подобное поведение все же может быть хоть и не оправдано, но логично.
                                0
                                в корп. секторе по хорошему либо сидят понимающие что творят технари (и тогда они поймут сообщение от Нод), либо люд, который установку «левого» ПО должен согласовывать с админами. А не «левое» ПО этими админами должно быть добавлено в white list антивиря.
                            0
                            Немножечко поясню.
                            1. В некий вирлаб попадает файл, защищенный Фемидой, который признается малварью (по поведению, по метаданным, по инфе из облака или каким-либо еще способом) и на него накладывается детект. Детект накладывается «поверх» — детектиться будет именно этот файл, а первоначальный с большой долей вероятности (если он не получил детекта когда-то еще) обнаруживаться не будет. Так примерно во всех вирлабах.
                            А можно сделать иначе и пойти по пункту два:
                            2. Изначально делается один маленький детект — в базу заносится сигнатура Фемиды и в дальнейшем ВСЕ, что упаковано ей будет обнаруживаться независимо вообще ни от чего. В крайнем случае, если долго вести с ними диалог (показывая им свой сайт, софт), они добавят конкретный файл в исключения к этому детекту.

                            Есет пошли по второму пути. Насколько это хорошо или плохо и удобно или нет пользователям и производителям софта — не знаю, не мне судить. Я просто на пальцах описал технологию детекта.

                            Из того софта, что лично я использовал помню детекты есета на три нормальные вещи:
                            1. Сам софт Фемида
                            2. vb decompiler
                            3. Протектор WinLicense
                        +3
                        Такая ерунда со всеми антивирусами сейчас творится, притом пакуешь файл типа std:cout<<«hello world»<<std:endl; например upx, несколько антивирусов ругнется, стрипнешь секции, чтобы уменшить размер, опять детекты ложные, подключишь библиотеки для работы с сетью например, опять детекты будут. У меня ощущение, что антивирусы уже тупо забили на ложные срабатывания, ибо совсем безобидный код бывает детектится антивирусами.
                          0
                          Вот прямо сейчас проверил: strip+upx на достаточно сложном сетевом приложении: 0/57.
                            0
                            От размера файла тоже зависит, вирусы обычно не весят больше 1мб, плюс надо понимать, что чем больше кода тем больше сигнатура будет разбавлена другими инструкциями, вообще на детект влияет много факторов ;) С upx я проверял где-то полгода назад и детекты были, но upx сам по себе распаковать очень легко, возможно антивирусы поправили. Ругаются обычно антивирусы на файлы у которых высокая энтропия и они не могут его распаковать.

                      Only users with full accounts can post comments. Log in, please.