2. Под угрозой находятся уже спасённые цифровые источники. Они
были обнаружены исследователем и скопированы на компьютер который
исследователь контролирует.
Дело в том, что одним из методов используемых антивирусами для
поиска файлов с угрозами является поиск внутри файлов кода
соответствующего примерам хранящимся в базе антивируса.
Используя данный метод, антивирус может допускать ошибки в обе
стороны — не замечать файлов с реальной угрозой или реагировать на
безопасные файлы как на угрозу.
В данной главе речь идёт именно о ложном срабатывании
антивируса, воспринявшего безопасный файл как угрозу.
Суть проблемы
На начальном этапе развития IT-индустрии, нормальным поведением
антивируса при обнаружении угрозы было уведомление пользователя и
запрос о том как следует поступить с найденной угрозой. При
желании, пользователь мог отключить эти уведомления и перевести
программу в автоматический режим, при котором угроза устраняется
без участия пользователя.
Однако, по мере роста числа пользователей компьютеров изменились
и характеристики «типичного пользователя». Современный типичный
пользователь компьютера не только нервничает при сообщениях об
обнаруженных угрозах, но и так же может принять неправильное
решение о том что действительно опасный файл является якобы
безопасным.
Следствием изменение демографии компьютерных пользователей стало
изменение нормального поведения антивирусов — они стали работать в
беззвучном автоматическом режиме. Уведомления об обнаруженных и
устранённых угрозах стали комфортными и приятными, то есть такими,
что пользователи перестали их замечать.
Ситуация усугубляется тем, что в актуальной на момент написании
данной книги «Windows 10», эти уведомления показываются в течении
короткого времени и потом уходят в общую ленту уведомлений, в
которой могут затеряться среди сообщений от других программ.
Я сам тоже сталкивался в примерами ложного срабатывания
антивируса, и самые яркие из них связаны с моей деятельностью как
веб-разработчика.
В одном случае, в 2013 году, антивирус DrWeb при первом запуске
обнаружил у меня специфические настройки Windows (отредактированный
файл hosts ) которые на компьютере обычного пользователя указывает
на заражение компьютера вирусами. Без какого либо запроса, мой
компьютер был успешно «вылечен».