Что на самом деле удаляют антивирусы. Увиденное шокировало!

12.08.2022|Сергей Выходцев|MyFreeSoft.ru|Комментарии

Очередной клиент обратился к нам на диагностику компьютера. В процессе этого его антивирус снес все наши программы, которые мы пытались запустить на его компьютере для проведения работ. Удалил как опасность с пометкой Not-a-Virus/PUP — «не вирус». Так как это уже далеко не первый случай, мы с коллегами решили изучить вопрос более детально и понять, что же не так с этими программами и почему их блокируют. В итоге наткнулись на компанию, которая раздает ярлыки «не вирус», и критерии этого нас шокировали.

Начали свои поиски с изучения документации антивирусных лабораторий. Там обнаружили пункт «на основе репутации» (пример Microsoft). Это значит, что антивирус может блокировать программу только потому, что ее уже блокируют другие антивирусные программы.

В процессе поисков оказалось, что существует поставщик списка таких программ и называется эта компания AppEsteem. Занимаются они проверкой приложений и составлением списка «неправильных», а также сертификацией «правильных». Именно к их перечню прислушиваются некоторые популярные антивирусы. Точнее, просто берут список неугодных и начинают их блокировать.

Я изучил критерии так называемых «неправильных программ» и волосы встали дыбом. Например, одну из программ отметили за то, что она в своем интерфейсе использует красный, жёлтый и зелёный цвета для индикации состояний (красный — плохо, желтый — обратите внимание, зеленый — все хорошо). Другую — потому что на странице программы нет ссылки на инструкцию по ее удалению или политики возврата денег. Третью — за использование «запрещенных» слов в интерфейсе.

Затем наткнулся на отзыв Карла Хаугена, одного из разработчиков, программы которого заблокировали из-за AppEsteem за использование в интерфейсе слова «ошибка» в 2019 году. А вот конкурентов, у которых в интерфейсе есть те же слова, не заблокировали. Виной всему наличие у последних сертификата, который гарантирует помещение в список «правильных программ». Через 3 недели блокировок менеджер AppEsteem связался с Карлом и предложил приобрести такой сертификат за $800 в месяц (сейчас цена $1000 в месяц).

Другими словами, AppEsteem ищут формальные поводы добавить приложения в свой запрещенный реестр. Этот список «неправильных программ» поставляется в готовом виде многим передовым антивирусным лабораториям, которые его просто используют как есть, не вникая в детали. В результате программы из реестра начинают блокироваться огромным количеством антивирусов почти одновременно. А потом эти добрые люди предлагают разработчикам помощь в виде абонентской платы за размещение в списке «правильных» продуктов с получением сертификата.

В пользу этого говорит и отчет Clean Software Alliance, на который ссылался Карл в своем отзыве. Я нашел его и изучил. В нем сравниваются сертифицированные и заблокированные AppEsteem утилиты — они особо не отличаются друг от друга. Единственное отличие — первые платят абонентскую плату, а вторые нет. У тех и у других имеются «запрещенные» слова, неправильные цвета в интерфейсе, а также все те критерии, за которые неплательщиков помещают в расстрельном списке.

# # #

Очевидно, что изначальная идея была создать список недобросовестных программ, которые хитрыми и мошенническими путями манипулируют пользователями. Согласно критериям, со многими из которых я с охотой соглашусь, это так и есть. Например, там есть пункты о скрытой установке третьих программ, об установке ярлыков на рабочем столе на рекламируемые ресурсы (не связанные с установленной программой), об обманах и манипуляциях со стороны разработчиков. Туда конечно же сразу попали приложения, которые при установке в фоне устанавливают еще несколько программ и меняют настройки системы без разрешения. Туда конечно же попали псевдоантивирусы, которые делают вид что сканируют, а потом за деньги предлагают вылечить систему. Но в какой-то момент такие приложения, похоже, закончились и владельцы компании решили расширять список признаков и добавлять уже вполне нормальные программы. В конечном итоге получилось то, что получилось.

Удивительно, что не все разработчики антивирусов хотят это замечать. Не совсем понятна также позиция антивирусных лабораторий, которые замечают это и продолжают сотрудничество с откровенными вымогателями. Ведь это отбрасывает тень на средства защиты и заставляет задуматься о необходимости антивируса вообще. И не ясно, сколько еще таких компаний существует в мире.

Поделиться с друзьями