И снова про вирусы и антивирусы. Две недели назад на РусКрипто на секции «Технологии защиты от вредоносных программ» обсуждал с представителем McAfee технологию защиты обновления вирусных баз. Как тогда выяснилось, пользователи защищены от подмены обновлений в процессе передачи (в том числе с использованием криптографических методов), но сами производители антивирусов больше опасаются другой угрозы - ошибки антивируса при которой штатная, корректно функционирующая программа опознается как вирус.
С удивлением сегодня в новостях вижу "Антивирусы американской McAfee(!) привели к серьезному сбою – после выпуска очередного обновления множество компьютеров по всему миру, на которых были установлены продукты этой компании, стали циклично перезагружаться или сообщать о фатальной ошибке, пишет CNet. Обновление начало загружаться в 17 часов по московскому времени в среду, 21 апреля. Дистрибуция была прервана спустя 4 часа. Однако за это время его успели загрузить десятки тысяч компьютеров, включая компьютеры в больницах и учебных заведениях. В результате обновления антивирусы McAfee стали распознавать системный процесс операционной системы Svchost.exe (Generic Host Process for Win32 Services) как компьютерный червь W32/Wecorl.a."
Почему такое могло произойти - наверняка будет выяснено, но вряд ли выйдет за пределы компании-разработчика. Вариантов несколько - ошибка в алгоритмах анализа вирусов, ошибка эксперта, проводившего анализ, ошибка при формировании вирусной базы. Не ясно проводилось ли тестирование обновления вирусных баз. С одной стороны - должно производиться, а с другой - невозможно протестировать ПО на всех возможных вариантах (антивирус вполне мог среагировать и не на системный процесс ОС).
