Как антивирус «Лаборатории Касперского» почти убил наш бизнес, обрушив DAU в десять раз за полтора месяца

Мы занимаемся разработкой утилиты «Чистилка», которая выявляет и очищает вредоносные, рекламные и прочие мусорные объекты.

Наша основная целевая аудитория — люди 40 лет и старше, которые скачивают с первых попавшихся сайтов музыку, фильмы, книги, устанавливают расширения в браузер вроде «Бесплатные стикеры для Одноклассников», а потом у них начинают произвольно открываться вкладки с онлайн-казино, запускаются криптомайнеры и так далее. Обычно антивирусы не чистят то, что чистим мы.

Проект рос и развивался. Проблемы начались 11 февраля, когда наш пользователь написал в поддержку о том, что антивирус Dr.Web удалил «Чистилку» с его компьютера. Мы проверили, и это подтвердилось: Dr.Web блокировал файл уже при скачивании, обзывая нас трояном.

Хронология событий

11 февраля

13 февраля

Думаете, проблема решилась? Это было только начало. В последующие полтора месяца наши юзеры периодически жаловались на то, что нас детектирует то Dr.Web, то Kaspersky, но все это выглядело единичными случаями, мы не смогли выяснить точные факторы, при которых нас детектируют антивирусы.

26 марта

Стоит отметить, что с «Лабораторией Касперского» у нас был заключен договор об участии в программе Whitelist.

Программа Whitelist обеспечивает добавление легитимного ПО в базу знаний Whitelist «Лаборатории Касперского». Зарегистрироваться в программе могут вендоры и разработчики ПО, заинтересованные в превентивном решении проблемы ложных срабатываний сегодня или в будущем.

Каждая новая сборка «Чистилки» отправлялась на сервера «Касперского». Все это работало до...

3 апреля

В этот день мы получили ответ о том, что файлы не обработаны из-за «Object collision expertise», а затем от наших юзеров мы узнали, что некоторые конкретные версии антивирус Касперского стал определять как HEUR:Trojan-Dropper.Win32.Potao.gen. Мы сразу написали вопрос сотруднику, отвечающему за Whitelist у «Касперского».

8 апреля

Пришел ответ, что файлы обработаны, ошибка была на стороне «Касперского», теперь всё отлично. Помимо этого выяснилось, что нас тщательно проверил какой-то вирусный аналитик и вручную присвоил нам такой детект — UDS.hoax.Win32.PCChist.

Вот как на сайте антивируса описана категория Hoax:

Программы, показывающие ложную информацию пользователю. Их главная цель — вынудить жертву оплатить навязанный софт или услугу. Не наносят компьютеру прямого вреда, однако выводят сообщения, что он уже причинен либо будет причинен, предупреждают пользователя об опасности, которой на самом деле нет.

К ним относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра или устаревших драйверах, чтобы получить от пользователя награду за обнаружение и исправление несуществующих ошибок.

Как правило, они показывают множество нежелательных уведомлений, создают дискомфорт, тем самым вынуждая жертву внести оплату. Иногда hoax-приложения препятствуют нормальной работе компьютера — например, добавляя множество объектов в автозагрузку.

22 апреля

При отправке файлов в Whitelist снова стали приходить ошибки. Ответа пришлось ждать неделю.

29 апреля

Естественно, мы не согласны с этим решением, но пытаться его оспорить посчитали нереальным, поэтому стали пробовать договариваться. Спросили, что конкретно, по мнению аналитиков, может вводить юзеров в заблуждение.

Получили информацию о том, что стоит переписать некоторые тексты в интерфейсе, мы это сделали, отправили программу на проверку. Ответы на каждый вопрос мы ждали довольно долго.

23 мая

Думаете, что и здесь конец истории? А вот нет. Ничего не изменилось. Абсолютно. Мы каждый день десяток раз тестировали «Чистилку» как на сайте «Касперского» в онлайн-сканере, так и на VirusTotal, каждый раз получали один и тот же детект.

Ситуация осложнялась тем, что 23 апреля наш доменный регистратор заблокировал наш основной домен, на нём у нас был и биллинг для покупки лицензий, и форма связи с поддержкой. Причина блокировки: вас взломали, с сайта скачиваются вирусы.

По ссылке на VirusTotal был такой красивый отчет:

Вкратце, как это работает: например, антивирус Касперского начинает считать какой-то файл вредоносным, кто-то этот файл проверял на сервисе VirusTotal.

Через некоторое время все остальные антивирусы, которые не среагировали на файл во время проверки, позже заметили, что кто-то из их коллег все же детектирует файл как вредоносный. Что нужно сделать в таком случае? Верно, тоже отображать файл как вредоносный, ведь ваш антивирусный движок ничуть не тупее, чем у того же Касперского.

Таким образом всего 1 детект превращается в десятки за считанные дни. Чем больше человек скачают ваши файлы, тем быстрее будет происходить процесс накопления детектов на VirusTotal.

Восемь дней ушло на то, чтобы добиться разблокировки домена. Для этого нам пришлось удалить вообще все файлы. Затем мы перенесли домен к другому регистратору.

Когда казалось, что хуже некуда, выяснилось, что есть куда. Google Chrome начал блокировать загрузку файлов с нашего сайта, а затем и вовсе заблокировал все наши сайты, которые он смог найти:

Сервис VirusTotal с 2012 года принадлежит компании Google, так что браузер Google Chrome активно использует статистику по файлам с VirusTotal.

Снова удаляем все файлы, которые можно было скачать с сайта, запрашиваем проверку. Спустя сутки нас разблокируют.

Затем нас начали блокировать Opera и «Яндекс.Браузер».

Теперь давайте вернемся к «Касперскому». Помните, мы получили ответ о том, что детект с нас сняли? Пишем им ещё один запрос, получаем ответ «детект корректный». Ещё раз пересказываем то, что было ранее в переписке с ними, приходит ответ «Спросим коллег. Ожидайте ответ в течение пяти рабочих дней».

29 мая

Вот уже больше месяца мы в активном состоянии борьбы, везде оправдываемся, запрашиваем проверку детектов у всех антивирусов, которые работают с VirusTotal. Многие западные разработчики отвечают почти моментально:

Этот ответ пришел через полтора часа после заявки

И только «Лаборатория Касперского» не торопится решить проблему.

Чтобы было наглядно понятно, как это повлияло на наших юзеров, посмотрите сюда:

Это график daily active users.

График выручки проекта, без указания конкретных цифр.

Выводы

Время реакции на апелляцию слишком велико. Можно ждать ответ один день, а можно один месяц. Если вы достаточно мелкие (в масштабах «Лаборатории Касперского»), то всем на вас пофиг.

А что бы вы делали на нашем месте?

0
72 комментария
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Andrey Bronin

Также сложилось впечатление, что программа таки лютое говно и создана для введения в заблуждение аудитории 40+ и развода на бабло. Считаю Каспер тут на 100% прав и гнать такое с компа надо ссаными тряпками. Что же вы стыдливо скрыли прайс на ваше поделие на офсайте? Скриншоты доставляют http://adwcleaner-ru.ru/chistilka/

Ответить
Развернуть ветку
Владислав Егоров
Что же вы стыдливо скрыли прайс на ваше поделие на офсайте?

Погуглил тарифы, так как на сайте их НИГДЕ нет. Судя по всему, у них подписка, 949 рублей за три месяца.

Ответить
Развернуть ветку
Владислав Егоров

Неудивительно, что люди не понимают, почему у них снимают деньги. Попробуйте сходу догадаться, что это подписка с автопродлением — для этого нужно читать мелкий шрифт.

Ответить
Развернуть ветку
Александр Мазалецкий

Да ладно критиковать классические техники модеи подписок, парни молодцы, придумали идею, реализовали. А Каспер халатно подошли к делу, так конечно нельзя

Ответить
Развернуть ветку
Вадим Чиняев

чем это отличается от того говнософта, с которым призвана сия программа бороться?

Ответить
Развернуть ветку
Vyacheslav Sibiryakov

"Если не можешь предотвратить оргию, то возглавь её", они и попытались)

Но практика и правда порочная: "помогать" ЦА "от 40 лет, которые не понимают, за что у них списываются деньги" — списывать по умолчанию деньги за свой софт для как бы борьбы с таким же софтом.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вадим Чиняев

жабу с гадюкой картинку думаю сами найдете.

я к тому, что методы поднять бабло как и писали выше весьма серые. каждый зарабатывает как может, но сочувствия вряд ли на vc будет через край.

Ответить
Развернуть ветку
69 комментариев
Раскрывать всегда