Что на самом деле блокируют антивирусы

Сергей Выходцев, 22.06.2020 (Обновление от 27.06.202027.06.2020)

Клиент обратился к нам на диагностику компьютера. Его антивирус удалил софт, который мы используем для диагностики и настройки системы. Причем подобное происходит постоянно. Решил изучить причину таких блокировок. В этом ПО нет и никогда не было никаких вирусов, потому поведение антивирусов выглядит откровенно странным (с учетом того, что софт помечается как Not-a-Virus/PUP). Я осознанно выбрал эти продукты по конкретным причинам, потому автоматическое удаление этих продуктов считаю неправильным.

Начал свои поиски с изучения документации антивирусных лабораторий. Там я обнаружил пункт «на основе репутации» (пример Microsoft). Это значит, что очередной антивирус может заблокировать программу только потому, что его уже блокируют другие. Очевидно, существует некий общий источник таких данных, и мне захотелось найти его.

Оказалось, что такой поставщик действительно есть и называется эта компания AppEsteem. Занимается проверкой приложений и составлением списка «неправильных» программ, а также сертификацией «правильных». Именно к их перечню прислушиваются некоторые приложения для защиты от вирусов.

Я изучил критерии так называемых «неправильных программ» и волосы встали дыбом. Например, одну из программ отметили за то, что она в своем интерфейсе использует цвета светофора (красный, жёлтый, зелёный) для индикации состояний. Другую — потому что на странице программы нет ссылки на инструкцию его удаления или политики возврата денег. Третью — за использование «запрещенных» слов в интерфейсе.

Затем наткнулся на отзыв Карла Хаугена, одного из разработчиков, программы которого заблокировали из-за AppEsteem за использование в интерфейсе слова «ошибка» в 2019 году. При этом конкурентов, у которых имеются ровно те же слова — нет. Виной всему наличие у последних сертификата, который гарантирует помещение в разрешенный список. Собственно, через 3 недели блокировок менеджер AppEsteem связался с Карлом и предложил приобрести такой сертификат за $800 в месяц (сейчас цена $1000 в месяц).

Другими словами, AppEsteem ищут формальные поводы добавить приложения в свой запрещенный реестр (зачастую это утилиты), в результате чего такие программы начинают блокироваться антивирусами. А потом эти добрые люди предлагают разработчикам помощь в виде абонентской платы за размещение в списке «правильных» продуктов с получением сертификата.

В пользу этого говорит и отчет CSA (Clean Software Alliance), на который ссылался Карл в своем отзыве. Я нашел его и изучил. В нем сравниваются сертифицированные и заблокированные AppEsteem утилиты — они ничем особо не отличаются, кроме того, что первые платят абонентскую плату, а вторые нет. У тех и у других имеются «запрещенные» слова, неправильные цвета в интерфейсе, а также все те критерии, за которые неплательщиков блокируют.

Не совсем понятно, в чем выгода антивирусных лабораторий и почему они продолжают сотрудничество с вымогателями, ведь это отбрасывает на них тень. И есть ли другие компании, которые занимаются чем-то подобным?

Комментарии