Как обойти систему Symantec WS.Reputation.1

Каждый год такие компании, как Symantec или Kaspersky, обновляют свою линейку средств обеспечения безопасности, обычно путем добавления ряда новых функций в продукты и изменения года в конце названия продукта. Одно из недавних дополнений Symantec к линейке продуктов Norton для обеспечения безопасности потребителей включает механизм репутации. По сути, это облачная система, которая использует информацию из всех программ Symantec для определения репутации файла или программы в компьютерной системе.

Идея здесь в том, что программы, скорее всего, безопасны, если они используются большим процентом пользователей, и что программы, которые не используются широко, с большей вероятностью будут небезопасными для запуска в системе. Проблема с этим подходом заключается в том, что Symantec может помещать файлы в карантин, даже если собственный сканер программы не обнаружил в них вредоносный код. Система была разработана для блокировки запуска в системе неклассифицированного вредоносного ПО.

Однако происходит совсем другое. Независимые разработчики программного обеспечения любят Андреас Лёв начали замечать, что их программы автоматически классифицируются как WS.Reputation.1 файлы из-за их низкой репутации. Если этого было недостаточно, продукты Norton автоматически удаляют файлы, классифицированные как таковые, и перемещают их в карантин программы.

Symantec Примечания:

WS.Reputation.1 — это обнаружение файлов с низкой репутацией, основанное на анализе данных сообщества пользователей Symantec, и поэтому они могут представлять угрозу безопасности. Обнаружения этого типа основаны на технологии безопасности Symantec, основанной на репутации. Поскольку это обнаружение основано на оценке репутации, оно не относится к определенному классу угроз, например, к рекламному или шпионскому ПО, а вместо этого применяется ко всем категориям угроз.

File Insight WS.Reputation.1

ws.reputation.1

Основная проблема с точки зрения разработчика заключается в том, что система может негативно повлиять на их бизнес. Пользователи могут подумать, что программное обеспечение, распространяемое конкретным разработчиком, включает вредоносное ПО, и даже если они так не думают, они могут решить не устанавливать программу, поскольку она может не стоить потенциальных проблем.

С другой стороны, разработчики также могут почувствовать влияние системы. Они могут получить дополнительные запросы в службу поддержки для решения проблемы и могут быть вынуждены связаться с Symantec для решения проблемы и включения их программ в белый список.

Обход WS.Reputation.1

Если в вашей системе установлены продукты безопасности Norton, вы могли видеть уведомление, подобное изображенному на скриншоте выше. Он в основном уведомляет вас о том, что файл был классифицирован Norton как WS.Reputation.1 и, как следствие, был удален.

Так как же вернуть файл на этом этапе? Вам нужно нажать на кнопку опций в окне, которое приводит к следующему окну программы.

обнаружена угроза

Здесь нужно нажать на кнопку восстановления, чтобы переместить файл из карантина в систему.

карантин восстановить

Если вы вообще не хотите использовать систему, вы можете отключить ее следующим образом:

  • Откройте основной интерфейс Norton и щелкните там дополнительную ссылку.
  • Найдите Download Intelligence и выключите его

скачать разведку

Вы можете отключить эту функцию на ограниченное время или навсегда.

Вывод

Основная идея механизма репутации Symantec имеет большой смысл, но реализация ошибочна, так как при работе генерируется слишком много ложных срабатываний. Вместо того чтобы перемещать файлы WS.Reputation.1 в карантин, пользователи должны видеть уведомление, которое дает им возможность либо сделать это, либо сохранить файл в системе.

Являетесь ли вы пользователем Norton, который сталкивался с оценками репутации программного обеспечения? Или вы заметили подобное поведение в другом программном обеспечении безопасности?