Hvis du bruger værktøjer fra Nirsoft, og du bør, hvis du kører en smag af Windows på en maskine, så du kan have løb ind i problemer før, når en antivirus-løsning meddelt dig, at det program, du var ved at køre var ondsindet i naturen.
Nirsoft har kæmpet med falske positiver for lang tid, og jeg kan kun forestille mig, hvor mange anmodninger om support Nir Sofer får om det.
Hvad gør det endnu værre for ham, er, at virksomheder kan blackliste hans hjemmeside eller sider, om det på grund af disse falske positiver.
Googles SafeBrowsing service for eksempel blokeret Nirsoft værktøjer fra at blive downloadet i 2014, og da det bliver brugt af Chrome, Firefox og andre browsere, var det helt sikkert ødelæggende på det tidspunkt for Nirsoft.
Nir Sofer forsøgt at foretage ændringer for at nogle af de programmer, men resultatet, som i dag, er stadig den samme. Han besluttede derefter at oprette en rapport om problemet ved at scanne alle hans programmer på Virustotal og placering antivirus motorer baseret på falske positiver.
Virustotal scanner filer, som du uploader til tjenesten mod 56 forskellige antivirus-motorer. Placeringen beregningen er enkel: hver antivirus starter motoren med en score på 100 point. Negative point for alarmer, som kan variere, afhængigt af om det er en generel advarsel, eller den ene, der peger mod skadelig kode i særdeleshed.
Resultaterne
Kun 12 ud af 56 antivirus løsninger, ikke om en enkelt falsk positive, mens de resterende 44 antivirus motorer havde indberettet mindst én.
Motorer, der med en perfekt score er: AegisLab, Alibaba, ALYac, ByteHero, ClamAW, Emsisoft, Panda, Qihoo-360, Tencent, Samlede Forsvar, VBA32, Zoner.
Mange populære antivirus-løsninger har ikke rang godt. TrendMicro fik en score på 67 og 24 alarmer, Nod32 en score på 57 og 26 indberetninger, Symantec en score på 71 og 20 indberetninger, og Malwarebytes en score på 83 og 11 indberetninger.
Tre antivirus motorer sluttede testen med negative scores: Antiy-AVL med -6.5 point, TheHacker med -230.5 point og Bkav med -1280.5 point.
Du kan se den fulde liste over på Nirsoft blog for yderligere detaljer.
Konklusion
Falske positiver er et stort problem for Nirsoft og — sandsynligt — andre software-udviklere — og brugere på Internettet.
Den placering ikke afspejler, hvordan en effektiv antivirus-motor er som en helhed, og man mindst har at spekulere på, om den gode placering af visse antivirus-motorer er på grund af dem at være virkelig god til at undgå falske positiver eller andre faktorer.
Nirsoft kunne anvende resultaterne på flere måder. Første, det er pinligt virksomheder, der rapporterer falske positiver, selvom det er klart, at Nirsoft programmer er ikke ondsindet i naturen. For det andet, ved at informere virksomheder om sikkerhed resultaterne og håber, at de vil gøre noget ved det.
I betragtning af, at disse virksomheder har haft år til at finjustere deres motorer, synes det usandsynligt, at dette kommer til at ske selv.
Nu kan Du: Hvad er din erfaring med falske positiver?