Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Мы занимаемся разработкой утилиты «Чистилка», которая выявляет и очищает вредоносные, рекламные и прочие мусорные объекты.

Наша основная целевая аудитория — люди 40 лет и старше, которые скачивают с первых попавшихся сайтов музыку, фильмы, книги, устанавливают расширения в браузер вроде «Бесплатные стикеры для Одноклассников», а потом у них начинают произвольно открываться вкладки с онлайн-казино, запускаются криптомайнеры и так далее. Обычно антивирусы не чистят то, что чистим мы.

Проект рос и развивался. Проблемы начались 11 февраля, когда наш пользователь написал в поддержку о том, что антивирус Dr.Web удалил «Чистилку» с его компьютера. Мы проверили, и это подтвердилось: Dr.Web блокировал файл уже при скачивании, обзывая нас трояном.

Хронология событий

11 февраля

13 февраля

Думаете, проблема решилась? Это было только начало. В последующие полтора месяца наши юзеры периодически жаловались на то, что нас детектирует то Dr.Web, то Kaspersky, но все это выглядело единичными случаями, мы не смогли выяснить точные факторы, при которых нас детектируют антивирусы.

26 марта

Стоит отметить, что с «Лабораторией Касперского» у нас был заключен договор об участии в программе Whitelist.

Программа Whitelist обеспечивает добавление легитимного ПО в базу знаний Whitelist «Лаборатории Касперского». Зарегистрироваться в программе могут вендоры и разработчики ПО, заинтересованные в превентивном решении проблемы ложных срабатываний сегодня или в будущем.

Каждая новая сборка «Чистилки» отправлялась на сервера «Касперского». Все это работало до...

3 апреля

В этот день мы получили ответ о том, что файлы не обработаны из-за «Object collision expertise», а затем от наших юзеров мы узнали, что некоторые конкретные версии антивирус Касперского стал определять как HEUR:Trojan-Dropper.Win32.Potao.gen. Мы сразу написали вопрос сотруднику, отвечающему за Whitelist у «Касперского».

8 апреля

Пришел ответ, что файлы обработаны, ошибка была на стороне «Касперского», теперь всё отлично. Помимо этого выяснилось, что нас тщательно проверил какой-то вирусный аналитик и вручную присвоил нам такой детект — UDS.hoax.Win32.PCChist.

Вот как на сайте антивируса описана категория Hoax:

Программы, показывающие ложную информацию пользователю. Их главная цель — вынудить жертву оплатить навязанный софт или услугу. Не наносят компьютеру прямого вреда, однако выводят сообщения, что он уже причинен либо будет причинен, предупреждают пользователя об опасности, которой на самом деле нет.

К ним относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра или устаревших драйверах, чтобы получить от пользователя награду за обнаружение и исправление несуществующих ошибок.

Как правило, они показывают множество нежелательных уведомлений, создают дискомфорт, тем самым вынуждая жертву внести оплату. Иногда hoax-приложения препятствуют нормальной работе компьютера — например, добавляя множество объектов в автозагрузку.

22 апреля

При отправке файлов в Whitelist снова стали приходить ошибки. Ответа пришлось ждать неделю.

29 апреля

Естественно, мы не согласны с этим решением, но пытаться его оспорить посчитали нереальным, поэтому стали пробовать договариваться. Спросили, что конкретно, по мнению аналитиков, может вводить юзеров в заблуждение.

Получили информацию о том, что стоит переписать некоторые тексты в интерфейсе, мы это сделали, отправили программу на проверку. Ответы на каждый вопрос мы ждали довольно долго.

23 мая

Думаете, что и здесь конец истории? А вот нет. Ничего не изменилось. Абсолютно. Мы каждый день десяток раз тестировали «Чистилку» как на сайте «Касперского» в онлайн-сканере, так и на VirusTotal, каждый раз получали один и тот же детект.

Ситуация осложнялась тем, что 23 апреля наш доменный регистратор заблокировал наш основной домен, на нём у нас был и биллинг для покупки лицензий, и форма связи с поддержкой. Причина блокировки: вас взломали, с сайта скачиваются вирусы.

По ссылке на VirusTotal был такой красивый отчет:

Вкратце, как это работает: например, антивирус Касперского начинает считать какой-то файл вредоносным, кто-то этот файл проверял на сервисе VirusTotal.

Через некоторое время все остальные антивирусы, которые не среагировали на файл во время проверки, позже заметили, что кто-то из их коллег все же детектирует файл как вредоносный. Что нужно сделать в таком случае? Верно, тоже отображать файл как вредоносный, ведь ваш антивирусный движок ничуть не тупее, чем у того же Касперского.

Таким образом всего 1 детект превращается в десятки за считанные дни. Чем больше человек скачают ваши файлы, тем быстрее будет происходить процесс накопления детектов на VirusTotal.

Восемь дней ушло на то, чтобы добиться разблокировки домена. Для этого нам пришлось удалить вообще все файлы. Затем мы перенесли домен к другому регистратору.

Когда казалось, что хуже некуда, выяснилось, что есть куда. Google Chrome начал блокировать загрузку файлов с нашего сайта, а затем и вовсе заблокировал все наши сайты, которые он смог найти:

Сервис VirusTotal с 2012 года принадлежит компании Google, так что браузер Google Chrome активно использует статистику по файлам с VirusTotal.

Снова удаляем все файлы, которые можно было скачать с сайта, запрашиваем проверку. Спустя сутки нас разблокируют.

Затем нас начали блокировать Opera и «Яндекс.Браузер».

Теперь давайте вернемся к «Касперскому». Помните, мы получили ответ о том, что детект с нас сняли? Пишем им ещё один запрос, получаем ответ «детект корректный». Ещё раз пересказываем то, что было ранее в переписке с ними, приходит ответ «Спросим коллег. Ожидайте ответ в течение пяти рабочих дней».

29 мая

Вот уже больше месяца мы в активном состоянии борьбы, везде оправдываемся, запрашиваем проверку детектов у всех антивирусов, которые работают с VirusTotal. Многие западные разработчики отвечают почти моментально:

Этот ответ пришел через полтора часа после заявки

И только «Лаборатория Касперского» не торопится решить проблему.

Чтобы было наглядно понятно, как это повлияло на наших юзеров, посмотрите сюда:

Это график daily active users.

График выручки проекта, без указания конкретных цифр.

Выводы

Время реакции на апелляцию слишком велико. Можно ждать ответ один день, а можно один месяц. Если вы достаточно мелкие (в масштабах «Лаборатории Касперского»), то всем на вас пофиг.

А что бы вы делали на нашем месте?

0
72 комментария
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Andrey Bronin

Также сложилось впечатление, что программа таки лютое говно и создана для введения в заблуждение аудитории 40+ и развода на бабло. Считаю Каспер тут на 100% прав и гнать такое с компа надо ссаными тряпками. Что же вы стыдливо скрыли прайс на ваше поделие на офсайте? Скриншоты доставляют http://adwcleaner-ru.ru/chistilka/

Ответить
Развернуть ветку
29 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
Ohw Swonk

Так это и есть скареваре ) Как и сам Каспер )

Ответить
Развернуть ветку
Alexander Perlamutrov

Увидел в отчёте, что бывают мьютексы-мутанты. Не знаю, как теперь жить дальше.

Ответить
Развернуть ветку
1 комментарий
Anton Kuzmichev

Что там есть такого в анализе, чего уважающая своих пользователей чистилка системы делать не "должна"?
Это не сарказм, реально интересно узнать, уж если вы загрузили файл в песочницу, проанализировали, прочитали результаты и прихуели от них.

Ответить
Развернуть ветку
Александр Иванов

Какая омерзительная штука.

Я не поленился скачать.
Чистить чистилка отказалась, потребовала активацию, стала со мной торговаться, скидочки предлагать.

Это надо банить, это вирус-мозгоёб.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Bulat Ziganshin

Каспер должен перепостить эту статью на свой сайт под заголовком "как мы успешно защищаем наших пользователей от скама"

Ответить
Развернуть ветку
Артём А.

И вам не стыдно писать эту статью? Серьезно, ребят, вы в серой зоне. Это как если бы впариватель увеличителей члена рассказал бы о своем бизнесе.
Надеюсь, каспер прочитает это и окончательно заблочит "чистилку"
Вы же сами в статье признаетесь, что ваша ЦА х- самая незащищенная от интернет мошенничества группа, с которой (судя по статье и комментам), вы особо не церемонясь, качаете бабло

Ответить
Развернуть ветку
Александр Мазалецкий

А Касперским пользуется другая аудитория?

Ответить
Развернуть ветку
2 комментария
Serge Kharkov

Попробуйте удалять своей чистилкой антивирус Касперского с устройств пользователей как "hoax".

Ответить
Развернуть ветку
Bulat Ziganshin

в живых должен остаться только один!

Ответить
Развернуть ветку
2 комментария
DEV Tesloz

Спасибо Касперскому, что закрыли бесполезный "антивирус" для выкачивания денег

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Margarita Koktisheva

Да вы прям стражник! :D

Ответить
Развернуть ветку
Анатолий Добрянский

Отвечу на поставленный автором в конце статьи вопрос "А что бы вы делали на нашем месте?"
На вашем месте я бы сходил в церковь отмолить грехи, и нашел нормальную работу.

Ответить
Развернуть ветку
Andrey Bronin

Вот только в церковь это лишнее, там бизнес модель примерно как у автора

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Bulat Ziganshin

и ещё один польщзователь чистиолки, который только вчера зарегился на сайте и полное тайного смысла сообщение которого заплюсовала наша зоркая Маргарита Боголепова

Ответить
Развернуть ветку
2 комментария
Sam Beckett
Зарегистрировался вчера в 19:57

Ясно-понятно

Ответить
Развернуть ветку
Балкон.Ру

А что, если НЕ СКАЧИВАТЬ говно на свой ноут?

Ответить
Развернуть ветку
2 комментария
Балкон.Ру

Сто лет не пользовался никакими чистилками 🤷🏽‍♂️

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Евгений Ларин

касперский замочил конкурента, который тянул деньги с кредитных карт

Ответить
Развернуть ветку
Leha Shum

Касперский точно также делает, однажды обнаружил автоматическое списание раз в год со своей кредитки, написал в Касперский чтобы отменили, они не смогли отменить на том основании что не знают кто оформил подписку, Карл!

Ответить
Развернуть ветку
1 комментарий
Artem Borodinov

Я что то не понимаю? Досудебная претензия, с выплатой упущенной прибыли, с моральной компенсацией, не катит? Я опять же не понимаю, столько времени решать вопрос...

Ответить
Развернуть ветку
Bulat Ziganshin

really? с таким же успехом можно засудить гугл/яндекс после того как в результате смены алгоритма ваш сайт спустился в выдаче )))))))

Ответить
Развернуть ветку
3 комментария
Monkey Do
Ответить
Развернуть ветку
uni corn

Подробное описание AVAST:

«Программы, показывающие ложную информацию пользователю. Их главная цель — вынудить жертву оплатить навязанный софт или услугу. Не наносят компьютеру прямого вреда, однако выводят сообщения, что он уже причинен либо будет причинен, предупреждают пользователя об опасности, которой на самом деле нет.

К ним относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра или устаревших драйверах, чтобы получить от пользователя награду за обнаружение и исправление несуществующих ошибок. Как правило, они показывают множество нежелательных уведомлений, создают дискомфорт, тем самым вынуждая жертву внести оплату. Иногда hoax-приложения препятствуют нормальной работе компьютера — например, добавляя множество объектов в автозагрузку.»

Ответить
Развернуть ветку
Алексей Любимов

Какое изящное описание любого антивируса.

Ответить
Развернуть ветку
Александр Мазалецкий

Так это ж про Касперского? Снес с компа еще лет 5 назад

Ответить
Развернуть ветку
Алексей Любимов

Если прогрмма присутствует в списке программ на удаление, если она удаляется по первому требованию пользователя и не оставляет своих скрытых копий, если она не размножается вместе с фафлами пользователя или по сети и не производит несанкционированных действий, таких, как удаление данных и т.п., то такая программа не является вирусом или зловредом и в принципе не должна удаляться антивирусами.

Ответить
Развернуть ветку
Konstantin Ivanov

а если программа запускает тебе онлайн казино при запуске браузера, потому что ты три раза нажал ок и согласился с тем что она тебе будет запускать казино?

Ответить
Развернуть ветку
1 комментарий
Stepan Vakhtin

Выглядит как:

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Denis Lukov

Занимайтесь менее скамными проектами

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Макс Пономаренко

а каким советуете? (У меня аваст стоит много лет, вроде работает)

Ответить
Развернуть ветку
3 комментария
Семен Смирнов

Не повезло, ничего не добавить

Только бороться и потом восстанавливать репутацию, хоть вы и не виноваты

Ответить
Развернуть ветку
Stepan Vakhtin

Антивири намеренно могут так себя вести, если увидят конкурента в лице сабжа

Ответить
Развернуть ветку
Кирилл Бородин

Это статья не только о том, что закрыли не очень честный проект. Но и о том, что любой проект можно закрыть вот так легко, объявив его "скамом". А потом вы будете писать месяцами в поддержку и наблюдать лавинообразный эффект "пугалок" и красных экранов, что "сайт, который вы собираетесь посетить небезопасен". И практически никаких средств регулирования и ответственности тут нет.

Ответить
Развернуть ветку
Дарья Сазанова

Ушла бы отшельником в скит.

Ответить
Развернуть ветку
Тимофей Литвинцев

надо быть идиотом чтобы такие поделки ("чистилки") запускать на своем компьютере. теоретически , если open source и большая аудитория - то можно. и то... стремная затея. хорошая практика - иметь некую мегапрограмму (как часть ОС?) которая бы банила эти поделки, что есть хорошо для неопытных пользователей

Ответить
Развернуть ветку
Панас Мирний

Так вместе с программой рекомендуйте другой антивирус, делов то)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Цой жив

Поставил антивирус Kaspersky и затрахался. В течении дня раз 100 показывают  pop-up spam. Лечить вирусы спамом - дебилизм высшей степени. Абсолютно правильно, что его везде запрещают.

Ответить
Развернуть ветку
Цой жив

я затрахался видет это сраное, непонятное уведомление по 5-10 раз в день!

Ответить
Развернуть ветку
1 комментарий
Gregory Gustavin

Не понимаю тут гнева комментаторов, скачал, поставил на виртуалку, виртуалка пустая, там чистить нечего... справедливо найдена только 1 проблема, триал 7 дней на попробовать... Все нормально

Что тут большинство развозникались не понимаю... Тоесть вы готовы так сидеть писать программу, тратить месяцы на разработку и потом лапу сосать? Конечно же хочется получать отдачу от вложенных усилий!
Или тут возникающая аудитория альтруисты и работают за спасибо?!

Ответить
Развернуть ветку
69 комментариев
Раскрывать всегда