אנטי וירוס נגד מערכת ההפעלה

בימים האחרונים התלוננו מאות משתמשים בפורומים של חברת CA על כך שהאנטי-וירוס של החברה מזהה קבצי מערכת הפעלה בחלונות כוירוס מסוג AMalum.ZZNP. תלונה זו הגיע בהמשך לתלונה מסוף השבוע שעבר אל חברת Mcafee, שסבלה מתופעה דומה, אך בעלת תוצאות הרסניות יותר.

קרדיט תמונה: Michael Osterrieder

קרדיט תמונה: Michael Osterrieder

בימים האחרונים התלוננו מאות משתמשים בפורומים של חברת CA על כך שהאנטי-וירוס של החברה מזהה קבצי מערכת הפעלה בחלונות כוירוס מסוג AMalum.ZZNP. הבעיה, כפי הנראה, משפיעה בעיקר על משתמשי חלונות XP עם חבילת שירות 3 (SP3), אך גם משתמשים בגרסאות אחרות של חלונות דיווח על בעיות דומות. לפי הדיווחים, קבצים כגון C:\WINDOWS\system32\reg.ex, C:\WINDOWS\system32\net.exe ו-C:\WINDOWS\system32\netsh.exe זוהו כקבצים המכילים וירוס וכאשר משתמשים ביקשו לטפל בבעייה, הציג בפניהם האנטי-וירוס רק את האפשרות למחוק את הקבצים או להכניס אותם ל-Quarantine. כאשר ביצעו המשתמשים את אחת משתי הפעולות הללו, הופיעה בפניהם הודעת השגיאה: “system files have been changed and that it may make the system unstable”.

לפי הנתונים, הבעיות החלו בתחילת השבוע ומשתמשים אשר יצרו קשר עם התמיכה הטכנית של CA קיבלו תשובה לפיה החברה עובדת כרגע על תיקון לבעייה. המשתמשים בפורום שהתקינו את התיקון החדש מדווחים שעבור חלקם, המצב רק החמיר. חברת CA לא פרסמה תגובה רשמית בנוגע לנושא עד עכשיו.

הסיפור של CA, מגיע בהמשך לסיפור דומה שקרה בסוף השבוע שעבר עם האנטי-וירוס של חברת מקאפי. בסוף השבוע האחרון, שחררה החברה עדכון חתימות של האנטי-וירוס (DAT 5664). המשתמשים שהתקינו את העדכון (ברוב המקרים, הוא הותקן בצורה אוטומטית), סבלו מ-False-Positive שגרם לסימון של קבצי ליבה של Windows (כגון OSKernel32), מספר קבצים של תוכנות נוספות מצד שלישי ואף קבצים השייכים לתוכנת נוספות מבית מקאפי. המערכת זיהתה את הקבצים המדוברים כוירוס בשם PWS!hv.aq והציעה למשתמש להכניס את הקבצים ל-Quarantine. מאחר והקבצים המדוברים במקרה זה, הם קצת יותר רגישים מאשר אלו שנתגלו במקרה של CA, כאשר ניסו המשתמשים לבצע את פעולה ה-Quarantine, הם נתקלו במסך כחול שגרם לקריסת מערכת ההפעלה.

במידה ואתם משתמשים באחד מהאנטי-וירוסים הללו, נתקלתם בבעייה המדוברת וביצעת מחיקה או Quarantine לקבצי מערכת ההפעלה, מיקרוסופט מציעה מספר הנחיות לצורך עדכון המערכת ושחזור הקבצים החסרים.

אלו הם רק שתיים מעשרות הדוגמאות למקרי False-Positive מהשנים האחרונות, אשר קרו כתוצאה השיפור במנגנוני ה-Heuristics והצורך ההולך וגובר בעדכון תדיר של מנגנוני החתימות. צרכים אלו מעלים את הסיכון לגילוי מוטעה של קבצים לגיטימיים בתור וירוס ומפחיתים את אמון הצרכנים במוצרים, מה שמוביל בסופו של דבר למעגל קסמים הרסני: משתמש לא מוגן – המשתמש מתקין מוצר שאמור להגן עליו – המוצר מבצע טעויות זיהוי – משתמש לא סומך על המוצר – משתמש מנטרל את המוצר – משתמש לא מוגן.

יניב פלדמן

צ'יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

Be the First to Comment!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
wpDiscuz

תגיות לכתבה: