Шутка Касперского обидела испанцев - Страница 4 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Шутка Касперского обидела испанцев

Recommended Posts

Юрий Паршин
квотьте аккуратнее...из Вашего вопроса не понятно на что отвечать, либо на то, что Вы считатете сэмплы приведенные мною не вирусы, либо то что Symantec достоин первого места на почтовом шлюзе.... Но в любом случае и том и другом случае ДА :) В первом это точyо вирусы (я это знаю), во втором - лучше ложные срабатывания, чем получения зараженных файлов. Почту не стоит сравнивать с рабочей OS.

" Вы считатете сэмплы приведенные мною не вирусы" - я про это не говорил. Я лишь сказал, что "недетект VT" != "недетект продуктом" для ЛК. И даже назвал причину. Да, возможно что и детекта продуктом на тех винлоках не было - но сейчас-то возможности узнать нет.

"во втором - лучше ложные срабатывания, чем получения зараженных файлов." - сразу видно, что Вы не имели дела с вменяемыми корпоративными сетями. За установку такого продукта (детектирующего все неизвестное) на шлюзе админу руки оторвали бы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
" Вы считатете сэмплы приведенные мною не вирусы" - я про это не говорил. Я лишь сказал, что "недетект VT" != "недетект продуктом" для ЛК. И даже назвал причину. Да, возможно что и детекта продуктом на тех винлоках не было - но сейчас-то возможности узнать нет.

пока мы разговариваем я Вам прислал очередной подарочек в качестве ссылки на ВТ...

"во втором - лучше ложные срабатывания, чем получения зараженных файлов" - сразу видно, что Вы не имели дела с вменяемыми корпоративными сетями. За установку такого продукта (детектирующего все неизвестное) на шлюзе админу руки оторвали бы)

Ой, как.. только мне как человеку который работает начальником IT управления не рассказывайте, что и за что бывает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
пока мы разговариваем я Вам прислал очередной подарочек в качестве ссылки на ВТ...

Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

+1, Юрий, рад был общению, но мой организм требует сна. Да и тема постепенно начинает принимать ленту Мёбиуса...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

И в дополнение детект по UDS здесь и сейчас:

d97d1f8620f0.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
на этом форуме эта тема поднималась как минимум 2 раза и очень давно, и все спокойно реагировали, а тут "на тебе" - поймали за руку...

товарищ product mana... пардон, пользователь привык усердствовать.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

kvit.v

Кстати большинство блокеров и фейковых АВ ловятся PDM KIS\KAV 2010. Так что VT явно не показатель....

Точно. Вот и давайте называть вещи своими именами. Компания Х потратила материальные и интеллектуальные ресурсы на анализ сампла, обеспечила его детект. Другая компания одним из доступных способов, в данном случае - это Virus Total, тырит вердикт, присваивает результаты чужого труда и потраченные на него ресурсы. ИМХО это ненормально и нужно об этом говорить.

Ну а что - кстати это показывает на отношение к ЛК другими вендорами - они доверяют вирлабу ЛК, хотя это палка о двух концах. Доверяй, но проверяй...

отлично. теперь хотелось бы услышать сторону ЛК..

Написано все тут: http://www.securelist.com/ru/weblog/32407/...i_testirovaniya

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wert
Это-то понятно, но не должны такие технологии применяться на VT или при сканировании сайтов...

При сканировании сайтов сумантеком это не применяется, если кто-то использует результаты от VT для сканирования - это его проблемы, нужно быть полным идиотом, что бы доверять результатам от VT.

Похоже на глюк virustotal: у меня при проверке на ПК никаких Supicious.Insight не выдает

0a784edb338et.jpg

В локальном продукте аналоги этого вердиктa можно встретить в трех местах.

Первое, File Insight, Вы сами показали - Непроверенный или Слабый или Плохой.

Второе, Download Insight, при скачивании файла появляется балун с фразой "Требует внимания"

И третье в "Рейтинге приложений".

При сканировании никаких репутационных вердиктов не выдается.

Какие файлы так помечаются можно почитать в интернете, где-нибудь на фанском или сайте поддержки симантека наверняка такое есть.

Да, точно

http://symantecclub.getbb.ru/viewtopic.php...;start=20#p6997

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

эта ссылка здесь уже была, или Вы невмнимательно читали статью или не поняли моего вопроса, но ответа там на него нет.... там вообще нет ничего об отношении ЛК к использования их детекта другими компаниями

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

kvit

Тут врятли кто даст Вам официальный ответ от ЛК по данному вопросу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
kvit.v

Кстати большинство блокеров и фейковых АВ ловятся PDM KIS\KAV 2010. Так что VT явно не показатель....

что такое PDM KIS\KAV 2010? и имеется ли он на борту корпоративных продуктов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
товарищ product mana... пардон, пользователь привык усердствовать.

"Эксперт" демонстрирует свою глупость? :lol:

При сканировании сайтов сумантеком это не применяется, если кто-то использует результаты от VT для сканирования - это его проблемы, нужно быть полным идиотом, что бы доверять результатам от VT.

Да ладно? А как же это сообщение?

ЖЕСТЬ!!!

Действительно, в сумантеке добились 100% детекта...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nike
Да, тролли порядком надоедают.

в соседней теме только что обсуждали эту проблему. не делают люди совсем выводы.

ЖЕСТЬ!!!

Действительно, в сумантеке добились 100% детекта...

можно поподробнее, пожалуйста? ничего по существу не увидел в вашей ссылке. очень любопытно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь

можно поподробнее, пожалуйста? ничего по существу не увидел в вашей ссылке. очень любопытно.

  1. Ссылка не моя.

Детектится всё, "что имеет в "облаке" рейтинг Unproven (Непроверенный) - 0 баллов, то есть использование в сообществе Norton (Norton Community) не было зарегистрировано, также файл не имеет цифровой подписи и еще несколько параметров".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Ну тогда можно поздравить сумантек со 100% Detection Rate :D

как и обещал сегодня проверил Symantec на своих собственных программах. Вердикт:

Symantec 20091.2.0.41 2010.02.13 Suspicious.Insight

Юрий, Вы оказались правы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ответ в Шутка Касперского обидела испанцев

Всё бы ничего, если бы эту шутку приурочили к 1 апреля.

Как и было раньше.

1 апреля 2003 года "ЛАБОРАТОРИЯ КАСПЕРСКОГО: НОВЫЙ ВИРУС УГРОЖАЕТ ЧЕЛОВЕКУ!"

http://stra.teg.ru/lenta/security/1386

1 апреля 2004 "Новый начальник 1 ОРЧ начал работу с ареста Касперского"

http://www.securitylab.ru/news/213711.php

1 апреля 2005 "Компания Доктор Веб покупает Лабораторию Касперского"

http://news.softodrom.ru/ap/b85.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Предлагаю выложить ознаменованные семплы в закрытом разделе, чтобы желающие, у кого есть доступ, тоже могли изучить их.

Без этого все утверждения о чистоте и безопасности ознаменованных семплов можно считать голословными.

Ссылки на некоторые - только шесть семплов - есть в теме выше.

Любое малейшее различие в их "Additional information" может считаться подтасовкой фактов.

Если на что-то (какой-то параметр в отчёте VT) нужно обратить особое внимание, то прошу указать это в посте, где будут выложены ссылки.

Я же могу проверить их только по своей коллекции antimalware и антивирусов, которых нет и не было в VirusTotale на момент проведения эксперимента. Эта проверка займёт время, но я и моя служба готовы его найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
что такое PDM KIS\KAV 2010? и имеется ли он на борту корпоративных продуктов?

PDM - это проактивная защита... У корпоративки есть, но за ее функционал не знаю. Не моя область.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну а что - кстати это показывает на отношение к ЛК другими вендорами - они доверяют вирлабу ЛК, хотя это палка о двух концах. Доверяй, но проверяй...

Пусть не забудут свою зарплату мне перечислять и могут дальше доверять сколько угодно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Кстати, мои 5 копеек. Я считаю, что репутационные технологии - это тупик. У Симантека оно реализовано настолько тупо, что дальше некуда. Cloud Poisoning - это будущее этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Пусть не забудут свою зарплату мне перечислять и могут дальше доверять сколько угодно.

Алекс, не забудь поделиться :rolleyes:

Не знаю, что вы тут нафлудили за все это время пока я был занят :), но технология "доверенный антивирус" - это давным-давно настоящее некоторых, гм, так называемых, антивирусных компаний. И что самое забавное, мы видим лишь вершину айсберга - тех, кто ворует даже имена детектов. А есть еще те, которые все-таки придумывают свои имена и их "поймать" намного сложнее.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
репутационные технологии - это тупик. У Симантека оно реализовано настолько тупо, что дальше некуда.

Ну не знаю. Я, конечно, не спец, но мне видится, что эта технология (в сумме с другими) - далеко не лишняя. Она интересна как в плане статистики, так и в плане безопасности. Ведь вердикт выносится судя по тому, были ли проблемы у комьюнити Симантек после скачки этого файла. Оказался ли он зловредом.

Любопытно было бы узнать, как Вы в идеале видите эту функцию. Или она вообще, по-вашему, бесполезна?

P.S. По теме. Не ожидал от Авиры такого позора... Я как про названия, так и про ложняки. Ладно там Комоды всякие, но Авира... O_o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Ну не знаю. Я, конечно, не спец, но мне видится, что эта технология (в сумме с другими) - далеко не лишняя. Она интересна как в плане статистики, так и в плане безопасности. Ведь вердикт выносится судя по тому, были ли проблемы у комьюнити Симантек после скачки этого файла. Оказался ли он зловредом.

А отправка данных надежно защищена?

А то возьмем снифер, подглядим отправку репутации и давай клепать липовую.

P.S. По теме. Не ожидал от Авиры такого позора... Я как про названия, так и про ложняки. Ладно там Комоды всякие, но Авира... O_o

Про Авиру, вроде как давно было известно. И вроде как не только у Касперского они таскают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svh

Если ничего не путаю, репутационки в чистом виде (аналог кворума) у ЛК нет? Это что касается "мотивов"))

Вообще очень странная ситуация - заимствование детектов называют, в зависимости от настроения - кражей собственности или сотрудничеством.

Тут недавно, в соседней теме, про Адама Смита рассуждали, дескать, если не выгодно АВ-вендорам сотрудничество, то и не будет оного. Видимо, ЛК на данном этапе оно не выгодно ни под каким соусом. Подобные действия - явная попытка показать, кто тут "самый самый", а кто мышей не ловит, разговор с сообществом с позиции силы. Показательно, что ЛК давно так в публичном пространстве не разговаривала. Погладим, чем это все обернется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
Если ничего не путаю, репутационки в чистом виде (аналог кворума) у ЛК нет? Это что касается "мотивов"))

Каких мотивов?

Вообще очень странная ситуация - заимствование детектов называют, в зависимости от настроения - кражей собственности или сотрудничеством.

Ничего странного. Если есть разрешение/договор - это сотрудничество, если нет разрешения - это кража.

Тут недавно, в соседней теме, про Адама Смита рассуждали, дескать, если не выгодно АВ-вендорам сотрудничество, то и не будет оного. Видимо, ЛК на данном этапе оно не выгодно ни под каким соусом. Подобные действия - явная попытка показать, кто тут "самый самый", а кто мышей не ловит, разговор с сообществом с позиции силы. Показательно, что ЛК давно так в публичном пространстве не разговаривала. Погладим, чем это все обернется.

Может и так.

Интересно, а как бы вы реагировали, если сделали и поддерживаете базу данных, а кто-то "за так", ее копирует и раздает/продает?

PS. Только тому, кто ничего не сделал нечего опасаться, что его работу украдут.

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×