Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Мы занимаемся разработкой утилиты «Чистилка», которая выявляет и очищает вредоносные, рекламные и прочие мусорные объекты.

Наша основная целевая аудитория — люди 40 лет и старше, которые скачивают с первых попавшихся сайтов музыку, фильмы, книги, устанавливают расширения в браузер вроде «Бесплатные стикеры для Одноклассников», а потом у них начинают произвольно открываться вкладки с онлайн-казино, запускаются криптомайнеры и так далее. Обычно антивирусы не чистят то, что чистим мы.

Проект рос и развивался. Проблемы начались 11 февраля, когда наш пользователь написал в поддержку о том, что антивирус Dr.Web удалил «Чистилку» с его компьютера. Мы проверили, и это подтвердилось: Dr.Web блокировал файл уже при скачивании, обзывая нас трояном.

Хронология событий

11 февраля

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

13 февраля

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Думаете, проблема решилась? Это было только начало. В последующие полтора месяца наши юзеры периодически жаловались на то, что нас детектирует то Dr.Web, то Kaspersky, но все это выглядело единичными случаями, мы не смогли выяснить точные факторы, при которых нас детектируют антивирусы.

26 марта

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Стоит отметить, что с «Лабораторией Касперского» у нас был заключен договор об участии в программе Whitelist.

Программа Whitelist обеспечивает добавление легитимного ПО в базу знаний Whitelist «Лаборатории Касперского». Зарегистрироваться в программе могут вендоры и разработчики ПО, заинтересованные в превентивном решении проблемы ложных срабатываний сегодня или в будущем.

Каждая новая сборка «Чистилки» отправлялась на сервера «Касперского». Все это работало до...

3 апреля

В этот день мы получили ответ о том, что файлы не обработаны из-за «Object collision expertise», а затем от наших юзеров мы узнали, что некоторые конкретные версии антивирус Касперского стал определять как HEUR:Trojan-Dropper.Win32.Potao.gen. Мы сразу написали вопрос сотруднику, отвечающему за Whitelist у «Касперского».

8 апреля

Пришел ответ, что файлы обработаны, ошибка была на стороне «Касперского», теперь всё отлично. Помимо этого выяснилось, что нас тщательно проверил какой-то вирусный аналитик и вручную присвоил нам такой детект — UDS.hoax.Win32.PCChist.

Вот как на сайте антивируса описана категория Hoax:

Программы, показывающие ложную информацию пользователю. Их главная цель — вынудить жертву оплатить навязанный софт или услугу. Не наносят компьютеру прямого вреда, однако выводят сообщения, что он уже причинен либо будет причинен, предупреждают пользователя об опасности, которой на самом деле нет.

К ним относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра или устаревших драйверах, чтобы получить от пользователя награду за обнаружение и исправление несуществующих ошибок.

Как правило, они показывают множество нежелательных уведомлений, создают дискомфорт, тем самым вынуждая жертву внести оплату. Иногда hoax-приложения препятствуют нормальной работе компьютера — например, добавляя множество объектов в автозагрузку.

22 апреля

При отправке файлов в Whitelist снова стали приходить ошибки. Ответа пришлось ждать неделю.

29 апреля

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Естественно, мы не согласны с этим решением, но пытаться его оспорить посчитали нереальным, поэтому стали пробовать договариваться. Спросили, что конкретно, по мнению аналитиков, может вводить юзеров в заблуждение.

Получили информацию о том, что стоит переписать некоторые тексты в интерфейсе, мы это сделали, отправили программу на проверку. Ответы на каждый вопрос мы ждали довольно долго.

23 мая

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Думаете, что и здесь конец истории? А вот нет. Ничего не изменилось. Абсолютно. Мы каждый день десяток раз тестировали «Чистилку» как на сайте «Касперского» в онлайн-сканере, так и на VirusTotal, каждый раз получали один и тот же детект.

Ситуация осложнялась тем, что 23 апреля наш доменный регистратор заблокировал наш основной домен, на нём у нас был и биллинг для покупки лицензий, и форма связи с поддержкой. Причина блокировки: вас взломали, с сайта скачиваются вирусы.

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

По ссылке на VirusTotal был такой красивый отчет:

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Вкратце, как это работает: например, антивирус Касперского начинает считать какой-то файл вредоносным, кто-то этот файл проверял на сервисе VirusTotal.

Через некоторое время все остальные антивирусы, которые не среагировали на файл во время проверки, позже заметили, что кто-то из их коллег все же детектирует файл как вредоносный. Что нужно сделать в таком случае? Верно, тоже отображать файл как вредоносный, ведь ваш антивирусный движок ничуть не тупее, чем у того же Касперского.

Таким образом всего 1 детект превращается в десятки за считанные дни. Чем больше человек скачают ваши файлы, тем быстрее будет происходить процесс накопления детектов на VirusTotal.

Восемь дней ушло на то, чтобы добиться разблокировки домена. Для этого нам пришлось удалить вообще все файлы. Затем мы перенесли домен к другому регистратору.

Когда казалось, что хуже некуда, выяснилось, что есть куда. Google Chrome начал блокировать загрузку файлов с нашего сайта, а затем и вовсе заблокировал все наши сайты, которые он смог найти:

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Сервис VirusTotal с 2012 года принадлежит компании Google, так что браузер Google Chrome активно использует статистику по файлам с VirusTotal.

Снова удаляем все файлы, которые можно было скачать с сайта, запрашиваем проверку. Спустя сутки нас разблокируют.

Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Затем нас начали блокировать Opera и «Яндекс.Браузер».

Теперь давайте вернемся к «Касперскому». Помните, мы получили ответ о том, что детект с нас сняли? Пишем им ещё один запрос, получаем ответ «детект корректный». Ещё раз пересказываем то, что было ранее в переписке с ними, приходит ответ «Спросим коллег. Ожидайте ответ в течение пяти рабочих дней».

29 мая

Вот уже больше месяца мы в активном состоянии борьбы, везде оправдываемся, запрашиваем проверку детектов у всех антивирусов, которые работают с VirusTotal. Многие западные разработчики отвечают почти моментально:

<p>Этот ответ пришел через полтора часа после заявки</p>

Этот ответ пришел через полтора часа после заявки

И только «Лаборатория Касперского» не торопится решить проблему.

Чтобы было наглядно понятно, как это повлияло на наших юзеров, посмотрите сюда:

<p>Это график daily active users.</p>

Это график daily active users.

<p>График выручки проекта, без указания конкретных цифр.</p>

График выручки проекта, без указания конкретных цифр.

Выводы

Время реакции на апелляцию слишком велико. Можно ждать ответ один день, а можно один месяц. Если вы достаточно мелкие (в масштабах «Лаборатории Касперского»), то всем на вас пофиг.

А что бы вы делали на нашем месте?

7575
72 комментария

Комментарий недоступен

39
Ответить

Также сложилось впечатление, что программа таки лютое говно и создана для введения в заблуждение аудитории 40+ и развода на бабло. Считаю Каспер тут на 100% прав и гнать такое с компа надо ссаными тряпками. Что же вы стыдливо скрыли прайс на ваше поделие на офсайте? Скриншоты доставляют http://adwcleaner-ru.ru/chistilka/

38
Ответить

Комментарий недоступен

7
Ответить

Так это и есть скареваре ) Как и сам Каспер )

5
Ответить

Увидел в отчёте, что бывают мьютексы-мутанты. Не знаю, как теперь жить дальше.

4
Ответить

Что там есть такого в анализе, чего уважающая своих пользователей чистилка системы делать не "должна"?
Это не сарказм, реально интересно узнать, уж если вы загрузили файл в песочницу, проанализировали, прочитали результаты и прихуели от них.

Ответить

Какая омерзительная штука.

Я не поленился скачать.
Чистить чистилка отказалась, потребовала активацию, стала со мной торговаться, скидочки предлагать.

Это надо банить, это вирус-мозгоёб.

46
Ответить