Wapalta побывала в «черном списке» Касперского. Но вернулась

На прошлой неделе Generatum Software столкнулся с проблемой, которая выражалась в том, что в компанию начали поступать жалобы от клиентов, у которых на мобильных телефонах установлено антивирусное ПО Kaspersky Mobile Security. При попытке скачать новую версию программы (Wapalta 4.25) с сайта эти пользователи получали уведомление от антивируса о том, что скачиваемая программа является вредоносным ПО. 

Wapalta был создан компанией-разработчиком Generatum Software. Первая версия этого продукта была выпущена в апреле 2007 года и тогда Wapalta  представляла собой почтовый клиент для мобильных телефонов (см., например, новость раздела ПО от 5 июня 2007 г.).  На сегодняшний день продукт Wapalta – это J2ME-приложение для мобильных телефонов, совмещающее в себе браузер, мессенджер, почтовый клиент и др. Всего в Wapalta около 25 различных функций, направленных на общение, получение справочной информации и т.п. По данным разработчика сейчас Wapalta пользуются более 150 тыс. человек. Демоверсия данного приложения распространяется бесплатно, скачать ее с сайта компании может любой желающий. Для того, чтобы получить полную версию, пользователю необходимо активировать приложение путем автоматической отправки SMS-сообщения на короткий номер.

«Проблемы начались буквально несколько дней назад, 10 февраля 2009 года. От пользователей посыпались жалобы и претензии, что мы пытаемся их заставить установить себе вирус. Как раз в эти дни мы выпустили новую версию Wapalta 4.25, на которую стали переводить пользователей, и многие стали недоумевать, что за вирус мы им подсовываем. Ранее подобных проблем с антивирусами у нас никогда не было. Примечательно название вируса, которое выдает антивирус Касперского: Trojan-SMS.J2ME.FakeAlta. Как видно, в названии присутствует слово Alta, что созвучно с названием нашего приложения. То есть, можно предположить, что речь идет не просто о ложном срабатывании антивируса на часть кода, а о полном определении приложения Wapalta как вирусной программы. В связи с этим, в адрес «Лаборатории Касперского» нами отправлено электронное письмо, а также оформлена техническая заявка на сайте этой компании. Кроме того, сейчас мы ведем переговоры с юристами. Не исключено, что мы предъявим «Лаборатории Касперского» официальную претензию и потребуем официальных извинений», - рассказал исполнительный директор компании Generatum Software Игорь Родионов. 

В процессе подготовки данной статьи проблема была устранена. После того, как корреспондент ИД «РПР-группа» отправил в компанию «Лаборатория Касперского» письмо с просьбой прокомментировать создавшуюся ситуацию, от производителя антивирусного ПО был получен следующий комментарий: «К сожалению, в данном случае произошло ложное детектирование продуктом Kaspersky Mobile Security легальной программы Wapalta как Trojan-SMS.J2ME.FakeAlt.a. Ошибочное детектирование было вызвано отсутствием в программе Wapalta уведомления о стоимости отправляемого sms при активации продукта. Информация о стоимости sms содержится только на сайте компании, в разделе «Вопросы и Ответы». Вместе с тем, отсутствие полного и четкого уведомления пользователя о стоимости отправляемого sms является одним из основных признаков вредоносного поведения и характерно для нелегальных программ и целей. На сегодняшний день экспертами «Лаборатории Касперского» обнаружено более 900 троянских программ, наносящих ущерб пользователю подобным образом.

После запроса издания spbit.su специалисты центра глобальных исследований и анализа угроз «Лаборатории Касперского» исследовали инцидент и вынесли свое заключение, установив легальность программы Wapalta. Соответствующая детектирующая запись (Trojan-SMS.J2ME.FakeAlt.a.) в антивирусных базах продукта Kaspersky Mobile Security была удалена, о чем мы также сообщили разработчикам Wapalta. После очередного обновления баз данных продукта Kaspersky Mobile Security (13 февраля 2009 года, в 14.00) ложное детектирование Wapalta устранено. Мы приносим компании Generatum, пользователям Wapalta и Kaspersky Mobile Security свои извинения в связи с допущенной ошибкой. Ложное срабатывание было зафиксировано только в продукте по защите мобильных устройств - Kaspersky Mobile Security и не коснулось других решений «Лаборатории Касперского» для домашних пользователей - Антивируса Касперского и Kaspersky Internet Security», - прокомментировал руководитель центра глобальных исследований и анализа угроз компании «Лаборатория Касперского» Александр Гостев.  

С проблемой ложного срабатывания сталкиваются и другие производители антивирусного ПО. Представители некоторых из них рассказали о том, с чем, как правило связано то, что то или иное ПО, не являющееся вредоносным, идентифицируется антивирусом как способное нанести ущерб и что могут предпринять производители ПО, чтобы не попадать в «черные списки».

«На определенном этапе разработки нашего комплексного решения Outpost Security Suite Pro возникла обратная проблема, причем весьма курьезная. Скрытые файлы Outpost, содержащие информацию о результатах предыдущих проверок на вирусы, воспринимались некоторыми другими security-решениями как руткиты. Эта ситуация на некоторое время дезориентировала наших пользователей, однако, в следующей итерации проблема была решена за счет концентрации статистики проверок в едином защищенном файле. В нашем случае такое «ложное срабатывание» было лишь проходным эпизодам, однако, если бы оно всерьез помешало развитию нашей технологии и благоприятного имиджа, мы бы постарались в кратчайшие сроки связаться с вендором, записавшим наш компонент «в черный список», чтобы прояснить ситуацию и достигнуть договоренности.

Что же касается случаев, когда то, или иное ПО антивирусы расценивают как вредоносное, то связано это с тем, что различные компоненты вполне надежных приложений могут, с точки зрения антивируса, а скорее - эвристического сканера, вести себя подозрительно: ускользать от просмотра пользователем, вносить определенные изменения в реестр и т.д. Во избежание ложных срабатываний в подобных случаях некоторые вендоры, в том числе Agnitum, включают в свои продукты детекторы «доверенных производителей»: если приложение или его компоненты снабжены цифровой подписью, антивирусное решение признает такое приложение полностью безопасным и разрешает для него любую активность. То есть мяч в данном случае находится на стороне вендора, однако не стоит забывать о том, что приложений - огромное множество и трудно уследить за всеми», - отмечает коммерческий директор компании Agnitum Ltd. Виталий Янко.

«Данный случай – наглядный пример ложного срабатывания антивируса, когда безобидная программа рассматривается как вредоносная и блокируется. Подобные инциденты могут самым негативным образом сказаться на работе системы. Например, известны случаи, когда некоторые антивирусы ошибочно удаляли компонент Windows, что приводило к краху операционной системы. Ложные срабатывания обычно связаны с работой эвристики, позволяющей антивирусу обнаруживать в программе вредоносный код без обращения к базам вирусных сигнатур. То есть антивирусы, эвристическая система которых недостаточно совершенна, могут ошибочно расценивать функции файла или программы как опасные и похожие на функции вредоносных программ. Чем более продвинутые эвристические методы лежат в основе антивирусных продуктов, тем меньше вероятность ложных срабатываний.  Компания Eset – первая среди производителей антивирусного ПО начала применять эвристику и благодаря постоянному совершенствованию своих технологий сумела свести число ложных срабатываний к минимуму. Тем не менее, подобные инциденты случаются у всех разработчиков. Чтобы избежать подобных проблем, прежде, чем выпустить новый продукт, производителям софта рекомендуется проверить, не вызывает ли он срабатываний на наиболее популярных антивирусных системах», - прокомментировал технический директор компании Eset Григорий Васильев.