Давайте рассмотрим причины и технологии, которыми пользуются Avast и в свою очередь AVG.

Пользователи:

Ранее Avast был связан с компанией Jumpshot, которая открыто продавала данные о деятельности интернет-пользователей.

… Кстати, всё ещё помните тот звук уведомления?

image



Он также устанавливался как adware и невозможно было удалить, выскакивало три вопроса:

— Вы уверены, что хотите удалить приложение?

При клике на да, приложение предлагало 20% скидку, при отказе в следующем окне выходила ещё лучшая акция от которой нельзя было отказаться, потому что не было кнопки, только если закрыв окно, иногда этих вопросов даже не следовало, а требовалось перезагрузить компьютер, а после перезагрузки ничего не менялось.

Доходило до того, что Dr. Web считал его за вирус:

image


Также недавно стало известно, что Mozilla удаляла из своего каталога расширения Avast Online Security, Avast SafePrice, AVG Online Security и AVG SafePrice. Причина заключалась в том, что эти расширения собирали и передавали на сервер Avast профили пользователей, данные о посещаемых веб-страницах, включая параметры запросов и прочее.

Если пользователь добавляет исполняемый файл (будь то патч от игры или кейген) в белый список, файлы, создаваемые в переменной среде той же программы, могут быть помечены как вредоносные, и каждый раз при запуске, Avast будет выдавать предупреждение о вирусе не давая нам его запускать, в белый список мы можем добавить только родительский исполняемый файл, запустить удаётся только если не выключить защиту… фича?

Разработчики:

Недавно я провел эксперимент, упаковав чистые бинарные файлы PHP с помощью EVB (среды виртуализации для создания портативных приложений и их защиты).

Enigma Virtual Box имеет tag, это как бы цифровая подпись, которая позволяет программам, запакованными ими, или пользователями на основе их ядра, не попадать в черный список антивирусных компаний.

Сначала не возникло никаких проблем, и VirusTotal подтвердил чистоту файла.

Однако, когда я решил проверить тот же файл через неделю, вышло обнаружение Win32:Malware-gen.

Я обратился в службу поддержки и получил следующий ответ:

Благодарим вас за обращение в Avast и сообщение о ложноположительном обнаружении файла. Мы рады помочь. Обнаруженный файл был проверен специалистами по антивирусной защите Avast, и на основании полученных результатов обнаружение было удалено. Теперь файл помечен как чистый в вирусной базе данных Avast. Для полной актуализации этого изменения может потребоваться до 24 часов. Приносим извинения за возникшие неудобства.

Чтобы провести более полную проверку, я добавил те же самые файлы, а также чистое DLL-расширение OpenSSL в тот же файл. Повторная проверка снова показала обнаружение Win32:Malware-gen.

Как вы уже поняли, специалисты в Avast не затруднились провести дополнительное расследование отпечатков, добавляя их в базу сигнатур, улучшая тем самым поведение антивируса. Они просто добавили хеш-сумму файла в белый список, одним словом не доделали, ну как и всегда:



В качестве контр-примера можно рассмотреть того же false-positive с антивирусом Malwarebytes. Я также обратился в их службу поддержки, и мне ответили, что программа была проверена и проблем не обнаружено. Даже после нескольких изменений, их эвристический анализ исправно работает.

В ответе от Avast на моё второе сообщение о такой работе мне была предоставлена ссылка на руководство, после прочтения которого я понял, что мой выбор сводится только к покупке ежегодной дорогостоящей цифровой подписи разработчика.

В качестве примера можно рассмотреть другие популярные антивирусные программы, в которых не возникали подобные проблемы: Dr. Web, Kaspersky, ESET-NOD32, Avira и даже Baidu.

Это говорит о том, что специалисты, работающие в этих компаниях, обладают хоть какой-то компетентностью.

Комментарии (19)


  1. vilgeforce
    26.07.2023 17:57
    +3

    Ну да, а у Касперов незначащий пробел в JS делал файл из опасного чистым. Другой упомянутый вами АВ напрочь падал от некоторых JS файлов. Третий давал ложные срабатывания на все подряд, но кому какое дело?


  1. VADemon
    26.07.2023 17:57
    +2

    Несмотря на дельное введение (хотя... оно к теме слабо относится), стоило отразить суть статьи уже там, либо в заголовке (взаимодействие при false-positive и """эвристика""").


    1. kovalensky Автор
      26.07.2023 17:57
      +1

      Исправил, спасибо


  1. aik
    26.07.2023 17:57
    +1

    Ну вот я аваст стал всерьёз недолюбливать после того, как они неоднократно съедали системные файлы винды. Ну и сама установка как адварь какая-нибудь. Не раз притаскивали тормозящий комп, где в дополнение к касперу стояли аваст и макафи. Иногда ещё веб для полного счастья.


    1. vilgeforce
      26.07.2023 17:57

      А вы правда настоящий компьютерщик? Drweb еще много лет назад напрочь отказывался ставиться при наличии других АВ. Насколько я помню, у Касперов было то же самое. Но если шаловливый юзверь все-таки смог их обмануть - это, конечно же, вина АВ что они плохо работают в условиях, в которых они работать не должны вовсе


      1. aik
        26.07.2023 17:57
        +1

        Нет такой преграды, с которой не справятся кривые ручки.
        Юзеры делятся на очень тупых и очень сильных.
        Ну и т.п.


  1. Amadey17
    26.07.2023 17:57

    Премиум версия Аваста вполне неплохая. Для примера я тестил на архиве с 15к вирусов. Обнаружил 14к. Тот же защитник windows. Обнаружил из этого архива лишь 9к.


    1. vilgeforce
      26.07.2023 17:57

      А в реальности их там 4К, ага. Ваш тест не имеет никакого смысла, пока вы лично не убедитесь что каждый детектируемый файл - вирус, а каждый недетектируемый - не вирус. Потом, правда, окажется что в это все вирье под DOS и OS/2, но это мелочи...


    1. aik
      26.07.2023 17:57

      Тесты на таких архивах особого смысла не имеют.
      Основное, что от антивируса нужно — это быстрая скорость реакции на новых вирусов (обновление баз) и какая-никакая защита от неизвестных — эвристика, нестандартное поведение, защита системных файлов и т.п.


      1. Amadey17
        26.07.2023 17:57

        Ну всё равно приятно видеть что хоть кто-то что-то обнаруживает.

        Да и аваст вполне хорошо справляется со всем что вы перечислили. И предположим какая иная альтернатива не из русского ПО?


        1. aik
          26.07.2023 17:57

          Меня вполне устраивает и русское ПО. Как бесплатный — каспер, как платный — каспер или веб, товарищ майор одобряет.
          Аваста я когда-то ставил, но по вышеупомянутым причинам (ложные срабатывания с убиванием системы и распространение как адвари) отказался.


          Для себя, впрочем, я антивирусом не пользуюсь — мне достаточно виндового защитника.


  1. u007
    26.07.2023 17:57

    Аваст нам давно не бро, с тех пор как продались американцам и наложили санкций (см. лучи добра в отзывах платных клиентов в плеймаркете). Раньше это были чехи, а теперь ими владеет Нортон, у него же под зонтиком Симантек, AVG, CCleaner, Defraggler и Recuva.

    Для дома есть бесплатный Касперский.


    1. AlexeyK77
      26.07.2023 17:57
      +1

      симантек отошел броадкому и пару лет после этого там был лютый треш, пока менеджеры не порешали кто там кому папа.


      1. u007
        26.07.2023 17:57
        +1

        Продали Симантек за 10,7 млрд и купили Аваст за 8,5. Недурно))


    1. Amadey17
      26.07.2023 17:57
      +1

      Сейчас бы себе ставить тов.Майора. Да и не комильфо ставить русское ПО находясь в странах свободного мира.


      1. u007
        26.07.2023 17:57
        +1

        Да без проблем, у вас всё равно не получится. Он бесплатный только для нас и некоторых дружественных стран бывшего Союза. Сорян.. ^_^


        1. Amadey17
          26.07.2023 17:57

          А зачем бесплатное что-то ставить? Лучше платить за качество и поддержку.


      1. VADemon
        26.07.2023 17:57

        Скажите, почему считается пользователям из РФ пользоваться напр. Гуглом - гуд, а наоборот - не гуд? Причем первый пример аргументируется тем, что тов. Майор не достанет? С компаниями (тем более высокопрофильными) могу понять.


        1. Amadey17
          26.07.2023 17:57

          Я думаю любой пользователь из РФ из-за нынешней ситуации не вправе даже задавать уже такие вопросы. Тут либо вы на нашей стороне, либо на стороне зла.