אנטי וירוס נגד מערכת ההפעלה

מאת יניב פלדמן, יולי 10, 2009. אין תגובות. שייך לקטגוריות אבטחת מידע, תוכנה

בימים האחרונים התלוננו מאות משתמשים בפורומים של חברת CA על כך שהאנטי-וירוס של החברה מזהה קבצי מערכת הפעלה בחלונות כוירוס מסוג AMalum.ZZNP. תלונה זו הגיע בהמשך לתלונה מסוף השבוע שעבר אל חברת Mcafee, שסבלה מתופעה דומה, אך בעלת תוצאות הרסניות יותר.

הקטנת טקסט הגדלת טקסט

<div id='beacon_b5650d3ee1' style='position: absolute; left: 0px; top: 0px; visibility: hidden;'><img src='http://ads.newsgeek.co.il/www/delivery/lg.php?bannerid=31&campaignid=18&zoneid=11&loc=http%3A%2F%2Fwww.newsgeek.co.il%2Fanti-virus-vs-os%2F&fb=1&cb=b5650d3ee1' width='0' height='0' alt='' style='width: 0px; height: 0px;' /></div>

קרדיט תמונה: Michael Osterrieder

בימים האחרונים התלוננו מאות משתמשים בפורומים של חברת CA על כך שהאנטי-וירוס של החברה מזהה קבצי מערכת הפעלה בחלונות כוירוס מסוג AMalum.ZZNP. הבעיה, כפי הנראה, משפיעה בעיקר על משתמשי חלונות XP עם חבילת שירות 3 (SP3), אך גם משתמשים בגרסאות אחרות של חלונות דיווח על בעיות דומות. לפי הדיווחים, קבצים כגון C:\WINDOWS\system32\reg.ex, C:\WINDOWS\system32\net.exe ו-C:\WINDOWS\system32\netsh.exe זוהו כקבצים המכילים וירוס וכאשר משתמשים ביקשו לטפל בבעייה, הציג בפניהם האנטי-וירוס רק את האפשרות למחוק את הקבצים או להכניס אותם ל-Quarantine. כאשר ביצעו המשתמשים את אחת משתי הפעולות הללו, הופיעה בפניהם הודעת השגיאה: "system files have been changed and that it may make the system unstable".

לפי הנתונים, הבעיות החלו בתחילת השבוע ומשתמשים אשר יצרו קשר עם התמיכה הטכנית של CA קיבלו תשובה לפיה החברה עובדת כרגע על תיקון לבעייה. המשתמשים בפורום שהתקינו את התיקון החדש מדווחים שעבור חלקם, המצב רק החמיר. חברת CA לא פרסמה תגובה רשמית בנוגע לנושא עד עכשיו.

הסיפור של CA, מגיע בהמשך לסיפור דומה שקרה בסוף השבוע שעבר עם האנטי-וירוס של חברת מקאפי. בסוף השבוע האחרון, שחררה החברה עדכון חתימות של האנטי-וירוס (DAT 5664). המשתמשים שהתקינו את העדכון (ברוב המקרים, הוא הותקן בצורה אוטומטית), סבלו מ-False-Positive שגרם לסימון של קבצי ליבה של Windows (כגון OSKernel32), מספר קבצים של תוכנות נוספות מצד שלישי ואף קבצים השייכים לתוכנת נוספות מבית מקאפי. המערכת זיהתה את הקבצים המדוברים כוירוס בשם PWS!hv.aq והציעה למשתמש להכניס את הקבצים ל-Quarantine. מאחר והקבצים המדוברים במקרה זה, הם קצת יותר רגישים מאשר אלו שנתגלו במקרה של CA, כאשר ניסו המשתמשים לבצע את פעולה ה-Quarantine, הם נתקלו במסך כחול שגרם לקריסת מערכת ההפעלה.

במידה ואתם משתמשים באחד מהאנטי-וירוסים הללו, נתקלתם בבעייה המדוברת וביצעת מחיקה או Quarantine לקבצי מערכת ההפעלה, מיקרוסופט מציעה מספר הנחיות לצורך עדכון המערכת ושחזור הקבצים החסרים.

אלו הם רק שתיים מעשרות הדוגמאות למקרי False-Positive מהשנים האחרונות, אשר קרו כתוצאה השיפור במנגנוני ה-Heuristics והצורך ההולך וגובר בעדכון תדיר של מנגנוני החתימות. צרכים אלו מעלים את הסיכון לגילוי מוטעה של קבצים לגיטימיים בתור וירוס ומפחיתים את אמון הצרכנים במוצרים, מה שמוביל בסופו של דבר למעגל קסמים הרסני: משתמש לא מוגן – המשתמש מתקין מוצר שאמור להגן עליו – המוצר מבצע טעויות זיהוי – משתמש לא סומך על המוצר – משתמש מנטרל את המוצר – משתמש לא מוגן.

תגים: Anti Virusm, CA, False Positve, McAfee, אנטי-וירוס, מקאפי, סי.איי

יניב פלדמן

מייסד האתר ועורך ראשי. טכנולוג בעל וותק של 10 שנים בעולם המחשוב ואבטחת המידע. כשהוא לא מתעסק בדברים שאפשר לפרק אותם, הוא לפעמים גם צונח חופשי, צולל (לא חופשי) ועושה עוד כל מיני דברים שמתחילים בצ'. מחזיק בתעודת תואר ראשון במנהל עסקים (על הקיר בשירותים) ותעודת Microsoft MVP (על הקיר בכניסה לבית). החל משנת 2007, עוסק במה שהוא הכי אוהב בעולם, מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.