好吧,很可能我们永远不会知道真相,但无论如何:
据两名前员工称,从十多年前开始,世界上最大的安全公司之一,总部位于莫斯科的卡巴斯基实验室,试图通过欺骗他们的防病毒软件程序将良性文件归类为恶意文件来破坏市场上的竞争对手。 .
前雇员说,在一种技术中,卡巴斯基的工程师会使用 PC 中常见的一个重要软件,并将恶意代码注入其中,使文件看起来像是被感染了。他们会将修改后的文件匿名发送给 VirusTotal。
由于我是没有卡巴斯基 AV 的用户,我有点担心。在哪些情况下 AV 决定“清理”文件而不是永久删除它?(例如,我们可以谈论 Avast)。如文章中所述,在“健康”文件中“注入”错误代码是否可能被清理而不是删除?
正如文章所述,这个问题是在 2009 年至 2013 年之间观察到的,因此不再是最新的。它主要依赖于两件事:
因此,诀窍相对简单:向 VirusTotal 提交一些代码示例,卡巴斯基单独将其标记为恶意,其他编辑器很快就会“赶上”,更新他们的签名库以包含这个。技术上最困难的部分是操纵其他编辑器的软件生成与合法文件匹配的签名。
恕我直言,这表明营销优先于安全性的方法非常糟糕。
本文还解释了反病毒公司是如何发现这种欺骗行为的(例如,由于他们的打印机驱动程序已被隔离,客户突然增加要求 AV 支持),以及他们如何将其视为其反病毒软件的缺陷软件和签名管理流程有待修复。
因此,这些软件和流程(至少在理论上!)如今更难损坏,此类缺陷不应再发生,因此,要回答您的问题,您不必再担心了。
然而,在观察到这种做法时,防病毒软件不会清理文件而是隔离或删除它,因为它的代码与被错误标记为可疑的模式匹配。确实没有什么要清理的,文件是合法的!“坏代码”仅注入到发送给 VirusTotal 的初始样本中,竞争对手不会将坏代码添加到他们的签名库中,而是将合法代码添加到他们的签名库中......