Подпишитесь на рассылку
новостей о программе SecureBook:


Несколько слов об антивирусах

18.12.2010 г.
Сегодня получил письмо, напомнившее мне о давней проблеме.
Вот отрывок из него:
 
**************************
Некоторые мои клиенты возмущаются, что при запуске активированных уроков антивирусник ругается: потенциально опасное ПО... Дело дошло даже до требования вернуть деньги за диск. Я пишу им об этом моменте в письме с ключом активации, но не все понимают.
**************************
Проблема есть, и от нее никуда не деться. Ведь, например, что бы блокировать клавиатуру - защита должна перехватывать нажатия всех клавиш, а такое поведение похоже на типичный клавиатурный шпион. А опция эвристический антискриншотмейкер… так она вообще творит в системе жуткие вещи! Внедряет во все процессы свою библиотеку, перехватывая API функции, такое поведение ну очень похоже на поведение руткита. Руткиты подобным образом могут скрывать файлы, свой процесс, перехватывать трафик, а книга в SecureBook - скрывает от других программ изображение своего окна. Да, если нужно что-то скрыть, то все это делают одинаково, и хакеры и мы, win-разработчики. Большинству программ ничего в системе скрывать не нужно, и антивирус справедливо сообщает, мол "подозрительное ПО эта ваша книжка". 
 
Главная проблема, как донести до пользователя, что "потенциально опасное ПО" это не "опасное ПО". Многие люди настолько далеки от понимания работы компьютера, что сами не могут принимать решения. И если антивирус предупредил – значит все, эта правда матка и не переубедить. 
 
Расскажу о своем опыте борьбы с такими пользователями. 
 
2007 год. Тогда защита на самой программе SecureBook была навесная (программа умела защищать EXE файлы, и в качестве протектора использовалась сама SecureBook), антивирусы ругались на программу, ругались на защищенные книги и программы. Почти каждый покупатель писал мне в недоумении, мол вирус в программе, и книги все с вирусами! Представляете, как это, и каждому объяснять нужно, что все это не правда. В определенный момент меня это достало, а может и не меня, может клиенты начали прессовать :). В общем в июле 2007 года мы с Игорем Мелиховым (автор книги “Скрытый Гипноз” http://electrobook.ru) начали думать о проблеме, я начал попытки достучаться до антивирусников, Игорь помогал мне с текстами писем, и предложил в программу вставить следующий текст:
 
**************************
В известной всему Рунету линейке программ "SecureBook" никаких вирусов и троянов НИКОГДА НЕ БЫЛО И НЕТ, по определению. Однако некоторые не до конца оттестированные антивирусы могут НЕ РАЗЛИЧАТЬ функции вирусов и троянов от СТАНДАРТНЫХ функций криптографической защиты и в момент процесса защиты выдавать ЛОЖНЫЙ сигнал.
 
В случае такого ложного срабатывания либо
а) внесите процесс защиты в "Исключения" антивируса, либо
б) нажмите на окне антивируса кнопку "Пропустить", либо
в) временно отключите антивирус и спокойно закончите процесс (разумеется, после защиты книги Ваш антивирус можно будет снова включить)
**************************
 
Знаете, это была БОМБА! Вопросы прекратились, НИКТО не беспокоил, ну или почти никто… в любом случае результат есть и очень хороший! На этом попытки достучаться до встречи с вирлабовцами были закрыты (у них техподдержка очень умело лепит тысячи отмазок лишь бы не говорить адрес, по которому можно приехать и обсудить ситуацию лично).
 
Кстати, попытка написать в техподдержку отдельное приключение, т.к. они принимают сообщения только от своих пользователей. Мне конечно ради этого покупать Антивирус Касперского не хотелось, т.к. пользовался тогда другим. Пришлось искать знакомых, у которых стоит этот антивирус (а ведь еле нашел, тогда еще пользоваться лицензией не любили), и писал в техподдержку с аккаунта знакомого. В общем это оффтоп, вернусь к теме.
 
Так и продолжалось, тихо, спокойно, изредка приходили письма, мол всем не объяснишь, что антивирус может быть не до конца оттестированным. Но в целом спокойно, все реально успокоились. Я даже подумал, что вот она, сила скрытого гипноза, Игорю привет ;). Но в феврале 2008 года случилась неприятная история. Хакеры решили насолить мне, выдрали из книги один модуль, отвечающий за скрытые файлов, и отправили вирлабовцам: «смотрите, вирус!». Вирлабовцы, тупо, без проверки (они же не знали что это часть книги, им преподнесли, что это часть какого-то вируса), добавили этот модуль как руткит, и началось. До сих пор не понимаю, почему они этот модуль добавили в базу, ведь он ничего вредоносного не делает, просто скрывает файлы. Я считаю, что нужно детектировать ту часть, которая действительно что-то делает плохое. Ну или хотя бы убедиться, что у модуля, умеющего скрывать файлы, есть вредоносная часть которая собственно пользуется этим модулем… 
 
В общем, не суть, случилась ВОТ ТАКАЯ катастрофа. Если раньше на книги ругались, мол “Потенциально опасное ПО”, то теперь антивирус Касперского начал прямо в лицо говорить: “это ВИРУС Rootkit.Win32.Agent.mm”. На следующий день F-Secure тоже начал вопить, и Dr.Web обзывал книги “Вирус: Trojan.NtRootKit.441 ”. Кстати, забавно, сложилось впечатление, что антивирусы воруют друг у друга базы, хотя может и хакеры всем подряд антивирусникам разослали. Я был возмущен, как они могли, ведь серьезная компания, а повелись на провокацию. С техподдержкой общаться желания не было, уже был опыт общения с ними, тупо закидывают шаблонными ответами. Решил написать на форуме. Создал топик с темой «Как избежать добавления легальной программы в вирусные базы?». Там я предоставил цитаты с форума, где хакеры хвастались, как мои драйвера отправляли вирлабовцам. И сразу же отправил запрос в техподдержку с сылкой на тему. Тема оказалась провокационная, пока на форуме шло обсуждение, на мой тикет пришел ответ: 
 
2008.02.12, 12:55 - Екатерина Пушкарева:
Здравствуйте.
 
После того, как мы получили Ваш последний ответ, мы самостоятельно связались с нашими Вирусными Аналитиками, касательно возникшей ситуации.
 
Также , после получения ответа он был опубликован на форуме, а именно:
 
**************************************************************
Rootkit.Win32.Agent.mm был переименовано в not-a-virus:RiskTool.Win32.HideSBPro.a.
Теперь данный драйвер по умолчанию не будет детектироваться у пользователей.
Настоятельно рекомендуем Вам присылать письма в вирлаб с новыми версиями, для их добавления в базы под именем not-a-virus:RiskTool.Win32.HideSBPro, во избежание подобных случаев.
**************************************************************
 
Спасибо Вам за сотрудничество и понимание .
С уважением,
Служба технической поддержки
ЗАО "Лаборатория Касперского"
 
Счастью не было предела, чесслово. Теперь можно было козырять, что вирусов в программе уж точно нет! Проблемы с тем маленьким процентом людей, которых не устраивала фраза про “не до конца оттестированных” решалась отправкой читать тему форума http://forum.kaspersky.com/index.php?showtopic=52730 , после чего все вопросы пропадали.
 

Комментарии 

 
0 # Елена Мейсак 05.04.2011 12:51
Как бы это еще забугорным антивирусникам с Internet Security растолковать:-) У меня тоже антивирусник разорался на программу - поставила в исключения. Но новые книги дежурно отправляет в карантин и орет не них, что это высокая угроза для компьютера. Мне побоку, но я не знаю, как клиенты будут реагировать. В этом Вы правы, многие (нет! большинство!) пользователей тут же реагируют на сообщения антивируса. У меня было так пару раз, когда какой-то "умный" вирус ругался на книги, сделанные обычным компилятором exe книг. Пока что дала ссылку на эту страницу, надеюсь, после прочтения статьи и комментариев сомнений останется меньше;-)
 
 
0 # Павел 20.04.2011 18:29
У меня KIS 2011, и тоже ругался. Пришлось отключить. проблема не решена до сих пор?
 

У Вас недостаточно прав для добавления комментариев.
Возможно, вам необходимо зарегистрироваться на сайте.