Авторитетный веб-ресурс VirusTotal, который является наиболее распространенным сервисом онлайн-проверки файлов и URL-ссылок различными AV-сканерами, внедрил дополнительный механизм уведомления о т. н. false positive. Под этим понятием подразумевается чистый (не зараженный) файл, обнаруживаемый (ошибочно) как вредоносная программа одним или несколькими антивирусными сканерами. Сами false positive являются довольно распространенным явлением и обнаружение с чистого файла может быть убрано вендором за несколько часов, тем не менее, такой подход вводит пользователя в заблуждение.
Одним из механизмов, которые VirusTotal уже давно ввел для защиты от false positive, является голосование за статус файла. Пользователь сервиса или член сообщества может проголосовать за файл статусом «Вреден» или «Безвреден». Такой механизм проверки позволяет оценить достоверность вердиктов AV-сканеров, кроме этого, он помогает выявить потенциально вредоносные файлы еще до того, как они начнут обнаруживаться вендорами. В случае присутствия очень большого количества голосов «Безвреден» можно говорить о том, что файл чист, а если файл обнаруживается антивирусом, то мы имеем дело с false positive.
Новая функция VirusTotal вводит дополнительную проверку на наличие false positive, а также показывает пользователю специальное уведомление. Такое уведомление показано ниже на скриншоте который был взят с блога VirusTotal, упоминавшегося выше. Речь идет о стандартном приложении Windows «калькулятор», которое сам сервис посчитал чистым, вне зависимости от вердикта AV-сканеров.
Добавленная функция обнаружения чистых файлов основана на т. н. коллекции чистых файлов или их метаданных. Как следует из цитаты блога на VirusTotal, которая приведена ниже, компания Microsoft была первой, кто начал сотрудничать с VirusTotal и предоставлять информацию о своих доверенных файлах, что привело к распознаванию 6 тыс. чистых файлов.
We have been working on this for just one week and with just one company, Microsoft, yet results look very promising: over 6000 false positives have been fixed. We would like to extend a big thank you to the Microsoft team for sharing metadata about its software collection and to the antivirus industry as a whole for the false positives remediation.
Автор: esetnod32