Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Мы занимаемся разработкой утилиты «Чистилка», которая выявляет и очищает вредоносные, рекламные и прочие мусорные объекты.

Наша основная целевая аудитория — люди 40 лет и старше, которые скачивают с первых попавшихся сайтов музыку, фильмы, книги, устанавливают расширения в браузер вроде «Бесплатные стикеры для Одноклассников», а потом у них начинают произвольно открываться вкладки с онлайн-казино, запускаются криптомайнеры и так далее. Обычно антивирусы не чистят то, что чистим мы.

Проект рос и развивался. Проблемы начались 11 февраля, когда наш пользователь написал в поддержку о том, что антивирус Dr.Web удалил «Чистилку» с его компьютера. Мы проверили, и это подтвердилось: Dr.Web блокировал файл уже при скачивании, обзывая нас трояном.

Думаете, проблема решилась? Это было только начало. В последующие полтора месяца наши юзеры периодически жаловались на то, что нас детектирует то Dr.Web, то Kaspersky, но все это выглядело единичными случаями, мы не смогли выяснить точные факторы, при которых нас детектируют антивирусы.

Стоит отметить, что с «Лабораторией Касперского» у нас был заключен договор об участии в программе Whitelist.

Каждая новая сборка «Чистилки» отправлялась на сервера «Касперского». Все это работало до...

В этот день мы получили ответ о том, что файлы не обработаны из-за «Object collision expertise», а затем от наших юзеров мы узнали, что некоторые конкретные версии антивирус Касперского стал определять как HEUR:Trojan-Dropper.Win32.Potao.gen. Мы сразу написали вопрос сотруднику, отвечающему за Whitelist у «Касперского».

Пришел ответ, что файлы обработаны, ошибка была на стороне «Касперского», теперь всё отлично. Помимо этого выяснилось, что нас тщательно проверил какой-то вирусный аналитик и вручную присвоил нам такой детект — UDS.hoax.Win32.PCChist.

Вот как на сайте антивируса описана категория Hoax:

При отправке файлов в Whitelist снова стали приходить ошибки. Ответа пришлось ждать неделю.

Естественно, мы не согласны с этим решением, но пытаться его оспорить посчитали нереальным, поэтому стали пробовать договариваться. Спросили, что конкретно, по мнению аналитиков, может вводить юзеров в заблуждение.

Получили информацию о том, что стоит переписать некоторые тексты в интерфейсе, мы это сделали, отправили программу на проверку. Ответы на каждый вопрос мы ждали довольно долго.

Думаете, что и здесь конец истории? А вот нет. Ничего не изменилось. Абсолютно. Мы каждый день десяток раз тестировали «Чистилку» как на сайте «Касперского» в онлайн-сканере, так и на VirusTotal, каждый раз получали один и тот же детект.

Ситуация осложнялась тем, что 23 апреля наш доменный регистратор заблокировал наш основной домен, на нём у нас был и биллинг для покупки лицензий, и форма связи с поддержкой. Причина блокировки: вас взломали, с сайта скачиваются вирусы.

По ссылке на VirusTotal был такой красивый отчет:

Вкратце, как это работает: например, антивирус Касперского начинает считать какой-то файл вредоносным, кто-то этот файл проверял на сервисе VirusTotal.

Через некоторое время все остальные антивирусы, которые не среагировали на файл во время проверки, позже заметили, что кто-то из их коллег все же детектирует файл как вредоносный. Что нужно сделать в таком случае? Верно, тоже отображать файл как вредоносный, ведь ваш антивирусный движок ничуть не тупее, чем у того же Касперского.

Таким образом всего 1 детект превращается в десятки за считанные дни. Чем больше человек скачают ваши файлы, тем быстрее будет происходить процесс накопления детектов на VirusTotal.

Восемь дней ушло на то, чтобы добиться разблокировки домена. Для этого нам пришлось удалить вообще все файлы. Затем мы перенесли домен к другому регистратору.

Когда казалось, что хуже некуда, выяснилось, что есть куда. Google Chrome начал блокировать загрузку файлов с нашего сайта, а затем и вовсе заблокировал все наши сайты, которые он смог найти:

Сервис VirusTotal с 2012 года принадлежит компании Google, так что браузер Google Chrome активно использует статистику по файлам с VirusTotal.

Снова удаляем все файлы, которые можно было скачать с сайта, запрашиваем проверку. Спустя сутки нас разблокируют.

Затем нас начали блокировать Opera и «Яндекс.Браузер».

Теперь давайте вернемся к «Касперскому». Помните, мы получили ответ о том, что детект с нас сняли? Пишем им ещё один запрос, получаем ответ «детект корректный». Ещё раз пересказываем то, что было ранее в переписке с ними, приходит ответ «Спросим коллег. Ожидайте ответ в течение пяти рабочих дней».

Вот уже больше месяца мы в активном состоянии борьбы, везде оправдываемся, запрашиваем проверку детектов у всех антивирусов, которые работают с VirusTotal. Многие западные разработчики отвечают почти моментально:

И только «Лаборатория Касперского» не торопится решить проблему.

Чтобы было наглядно понятно, как это повлияло на наших юзеров, посмотрите сюда:

Время реакции на апелляцию слишком велико. Можно ждать ответ один день, а можно один месяц. Если вы достаточно мелкие (в масштабах «Лаборатории Касперского»), то всем на вас пофиг.

А что бы вы делали на нашем месте?