VirusTotal буде відслідковувати false positive

Авторитетний веб-ресурс VirusTotal, який є найпоширенішим сервісом онлайн-перевірки файлів та URL-посилань різними AV-сканерами, впровадив додатковий механізм повідомлення про т. зв. false positive. Під цим поняттям мається на увазі чистий (не заражений файл, виявляється (помилково) як шкідлива програма одним або кількома антивірусними сканерами. Самі false positive є досить поширеним явищем і виявлення з чистого файлу може бути прибрано вендором за кілька годин, тим не менш, такий підхід вводить користувача в оману.



Одним з механізмів, які VirusTotal вже давно ввів для захисту від false positive, є голосування за статус файлу. Користувач сервісу або член співтовариства може проголосувати за файл статусом «Шкідливий» або «Нешкідливий». Такий механізм перевірки дозволяє оцінити достовірність висновків AV-сканерів, крім цього, він допомагає виявити потенційно шкідливі файли ще до того, як вони почнуть виявлятися вендорами. У разі присутності великої кількості голосів «Нешкідливий» можна говорити про те, що файл чистий, а якщо файл виявляється антивірусом, то ми маємо справу з false positive.

Нова функція VirusTotal вводить додаткову перевірку на наявність false positive, а також показує користувачеві спеціальне повідомлення. Таке повідомлення показано нижче на скріншоті який було взято з блогу VirusTotal, згадуваного вище. Мова йде про стандартному додатку Windows «калькулятор», яке сам сервіс порахував чистим, незалежно від вердикту AV-сканерів.



Додана функція виявлення чистих файлів заснована на т. зв. колекції чистих файлів або їх метаданих. Як випливає з цитати блогу на VirusTotal, яка наведена нижче, компанія Microsoft була першою, хто почав співпрацювати з VirusTotal та надавати інформацію про своїх довірених файлах, що призвело до розпізнавання 6 тис. чистих файлів.

We have been working on this for just one week and with just one company, Microsoft, yet results look very promising: over 6000 false positives have been fixed. We would like to extend a big thank you to the Microsoft team for sharing metadata about its software collection and to the security industry as a whole for the false positives remediation.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.