Пользователи бесплатного антивирусного пакета Microsoft Security Essentials, после сегодняшнего обновления базы сигнатур, столкнулись с неожиданным уведомлением - антивирус сообщил о наличии в системе вредоносного ПО "PWS:Win32/Zbot" и предложил удалить его. После согласия на удаление, из системы удалялся браузер Chrome. Как оказалось, антивирус из-за ложного срабатывания воспринимал Chrome как вредоносное ПО "PWS:Win32/Zbot". Компания Microsoft подтвердила наличие проблемы и выпустила корректирующее обновление.
Пока не опубликовано официального пресс-релиза и публичного извинения перед пользователями, лишившимися браузера Chrome (настройки, дополнения и прочие пользовательские данные восстанавливаются после переустановки Chrome). Маловероятно, что Microsoft пошла на подобную блокировку специально. Скорее всего, кто-то третий решил подлить масло в огонь и продемонстрировал в действии новый вектор атаки, осуществляемой силами антивирусных программ.
Например, возможно имело место создание подставного вредоносного ПО, неизменяемая часть которого подобрана так, чтобы созданная антивирусная сигнатура намеренно приводила к блокировке не только исходного вредоносного ПО, но и целевого продукта, на который направлена атака. В частности, имея базу сигнатур и набор вредоносных программ, для которых созданы данные сигнатуры, можно сопоставить информацию и определить типовые особенности создания сигнатур для определенного антивирусного продукта. Используя эти особенности можно создать вредоносный код, сигнатура для которого с большой вероятностью будет создана предсказуемым образом. С другой стороны, браузер Chrome является одной из самых популярных программ для Windows, т.е. должен входить в число продуктов, обязательно проверяемых на наличие ложных срабатываний.
Пока не опубликовано официального пресс-релиза и публичного извинения перед пользователями, лишившимися браузера Chrome (настройки, дополнения и прочие пользовательские данные восстанавливаются после переустановки Chrome). Маловероятно, что Microsoft пошла на подобную блокировку специально. Скорее всего, кто-то третий решил подлить масло в огонь и продемонстрировал в действии новый вектор атаки, осуществляемой силами антивирусных программ.
Например, возможно имело место создание подставного вредоносного ПО, неизменяемая часть которого подобрана так, чтобы созданная антивирусная сигнатура намеренно приводила к блокировке не только исходного вредоносного ПО, но и целевого продукта, на который направлена атака. В частности, имея базу сигнатур и набор вредоносных программ, для которых созданы данные сигнатуры, можно сопоставить информацию и определить типовые особенности создания сигнатур для определенного антивирусного продукта. Используя эти особенности можно создать вредоносный код, сигнатура для которого с большой вероятностью будет создана предсказуемым образом. С другой стороны, браузер Chrome является одной из самых популярных программ для Windows, т.е. должен входить в число продуктов, обязательно проверяемых на наличие ложных срабатываний.
Спасибо, у меня как раз MSE стоит. Буду знать.
ОтветитьУдалить