Bezpečnost

Falešný alarm Windows Defenderu: Microsoft se nechal nachytat na neškodném textu

Jiří Palyza 05.07.2024

Virový skener Defender, který je zabudovaný jako součást zabezpečení a ochrany před škodlivým kódem ve Windows, způsobil zvláštní falešný poplach. Zcela neškodný jednoduchý textový soubor s konkrétní větou byl ochranným programem nesprávně označen jako nebezpečný trojský kůň.

Kapitoly článku

Neškodný textový soubor byl označen jako trojský kůň
Testování antivirových skenerů pomocí neškodných souborů

Antivirové programy detekují škodlivý kód obvykle správně. Někdy se ale stane, že spustí falešný poplach. Je to vcelku normální a bere se to jako hodnotící kritérium například u srovnávacích testů antivirového softwaru.

Když se to stane čas od času, není třeba se nijak znepokojovat. I když antivirový program by měl svou práci odvádět správně, poskytovat dobrou ochranu a především číhat co nejvíce na pozadí. Pokud se ale mýlí příliš často a zneklidňuje uživatele falešně pozitivními výsledky, je něco špatně.

Antivirový nástroj, který je zabudován do systému Windows, nedávno dospěl ke kurióznímu chybnému výsledku. Jeden z uživatelů zdokumentoval, jak Defender falešně nahlásil obyčejný soubor jako trojského koně. Zajímavé na tom je, že se jednalo o jednoduchý textový soubor se specifickou jedinou větou.

Neškodný textový soubor byl označen jako trojský kůň

my gf just found out that a text file solely containing the string "This content is no longer available." trips up windows defender lol pic.twitter.com/8RyHW3nltV
— yappy 🍉 (@rari_teh) June 21, 2024

Zdroj: X / @rari_teh

U virových skenerů k falešným poplachům čas od času dojde. U Defenderu byl jeden obzvlášť kuriózní. Věta "This content is no longer available", tento obsah již není k dispozici, byla údajně jediným obsahem textového souboru, kvůli kterému program Windows Defender při kontrole souboru zobrazil varování o trojském koni.

Defender měl podezření, že se za neškodným textem skrývá trojský kůň Win32/Casdet!rfn. Ten straší na síti již několik let a může na počítači skutečně způsobit značné škody. V tomto případě se však jedná pouze o záměnu identity.

Několik uživatelů dokázalo problém reprodukovat. Je ale možné, že se jednalo pouze o chybný záznam v databázi malwaru, který byl mezitím opraven.

Testování antivirových skenerů pomocí neškodných souborů

Webová stránka eicar s testovacími soubory — Na webové stránce evropské organizace eicar si můžete stáhnout testovací soubory, které prověří, zda váš antivirový skener funguje správně.

Jiné antivirové skenery zatím text nezachytily. Skutečnost, že antivirové skenery mohou zachytit neškodné textové soubory, ukazuje i testovací vzorek. Jeho pomocí si můžete vyzkoušet, zda váš antivirový program funguje správně.

Na stránkách Eicar, což je Evropská expertní skupina pro bezpečnost IT, najdete několik testovacích souborů. Můžete je použít k prověření, zda váš antivirový skener skutečně detekuje škodlivý kód. Obsahují specifický řetězec znaků, který by měl být rozpoznán v různých typech souborů.

Zdroj: X / @rari_teh, Eicar