Перейти к содержанию
AM_Bot

Шутка Касперского обидела испанцев

Recommended Posts

Юрий Паршин
квотьте аккуратнее...из Вашего вопроса не понятно на что отвечать, либо на то, что Вы считатете сэмплы приведенные мною не вирусы, либо то что Symantec достоин первого места на почтовом шлюзе.... Но в любом случае и том и другом случае ДА :) В первом это точyо вирусы (я это знаю), во втором - лучше ложные срабатывания, чем получения зараженных файлов. Почту не стоит сравнивать с рабочей OS.

" Вы считатете сэмплы приведенные мною не вирусы" - я про это не говорил. Я лишь сказал, что "недетект VT" != "недетект продуктом" для ЛК. И даже назвал причину. Да, возможно что и детекта продуктом на тех винлоках не было - но сейчас-то возможности узнать нет.

"во втором - лучше ложные срабатывания, чем получения зараженных файлов." - сразу видно, что Вы не имели дела с вменяемыми корпоративными сетями. За установку такого продукта (детектирующего все неизвестное) на шлюзе админу руки оторвали бы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
" Вы считатете сэмплы приведенные мною не вирусы" - я про это не говорил. Я лишь сказал, что "недетект VT" != "недетект продуктом" для ЛК. И даже назвал причину. Да, возможно что и детекта продуктом на тех винлоках не было - но сейчас-то возможности узнать нет.

пока мы разговариваем я Вам прислал очередной подарочек в качестве ссылки на ВТ...

"во втором - лучше ложные срабатывания, чем получения зараженных файлов" - сразу видно, что Вы не имели дела с вменяемыми корпоративными сетями. За установку такого продукта (детектирующего все неизвестное) на шлюзе админу руки оторвали бы)

Ой, как.. только мне как человеку который работает начальником IT управления не рассказывайте, что и за что бывает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
пока мы разговариваем я Вам прислал очередной подарочек в качестве ссылки на ВТ...

Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

+1, Юрий, рад был общению, но мой организм требует сна. Да и тема постепенно начинает принимать ленту Мёбиуса...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Да, в этом случае детекта действительно нет - будет детектироваться как Trojan-Ransom.Win32.Digipog.do.

И в дополнение детект по UDS здесь и сейчас:

d97d1f8620f0.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
на этом форуме эта тема поднималась как минимум 2 раза и очень давно, и все спокойно реагировали, а тут "на тебе" - поймали за руку...

товарищ product mana... пардон, пользователь привык усердствовать.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

kvit.v

Кстати большинство блокеров и фейковых АВ ловятся PDM KIS\KAV 2010. Так что VT явно не показатель....

Точно. Вот и давайте называть вещи своими именами. Компания Х потратила материальные и интеллектуальные ресурсы на анализ сампла, обеспечила его детект. Другая компания одним из доступных способов, в данном случае - это Virus Total, тырит вердикт, присваивает результаты чужого труда и потраченные на него ресурсы. ИМХО это ненормально и нужно об этом говорить.

Ну а что - кстати это показывает на отношение к ЛК другими вендорами - они доверяют вирлабу ЛК, хотя это палка о двух концах. Доверяй, но проверяй...

отлично. теперь хотелось бы услышать сторону ЛК..

Написано все тут: http://www.securelist.com/ru/weblog/32407/...i_testirovaniya

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wert
Это-то понятно, но не должны такие технологии применяться на VT или при сканировании сайтов...

При сканировании сайтов сумантеком это не применяется, если кто-то использует результаты от VT для сканирования - это его проблемы, нужно быть полным идиотом, что бы доверять результатам от VT.

Похоже на глюк virustotal: у меня при проверке на ПК никаких Supicious.Insight не выдает

0a784edb338et.jpg

В локальном продукте аналоги этого вердиктa можно встретить в трех местах.

Первое, File Insight, Вы сами показали - Непроверенный или Слабый или Плохой.

Второе, Download Insight, при скачивании файла появляется балун с фразой "Требует внимания"

И третье в "Рейтинге приложений".

При сканировании никаких репутационных вердиктов не выдается.

Какие файлы так помечаются можно почитать в интернете, где-нибудь на фанском или сайте поддержки симантека наверняка такое есть.

Да, точно

http://symantecclub.getbb.ru/viewtopic.php...;start=20#p6997

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

эта ссылка здесь уже была, или Вы невмнимательно читали статью или не поняли моего вопроса, но ответа там на него нет.... там вообще нет ничего об отношении ЛК к использования их детекта другими компаниями

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

kvit

Тут врятли кто даст Вам официальный ответ от ЛК по данному вопросу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
kvit.v

Кстати большинство блокеров и фейковых АВ ловятся PDM KIS\KAV 2010. Так что VT явно не показатель....

что такое PDM KIS\KAV 2010? и имеется ли он на борту корпоративных продуктов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
товарищ product mana... пардон, пользователь привык усердствовать.

"Эксперт" демонстрирует свою глупость? :lol:

При сканировании сайтов сумантеком это не применяется, если кто-то использует результаты от VT для сканирования - это его проблемы, нужно быть полным идиотом, что бы доверять результатам от VT.

Да ладно? А как же это сообщение?

ЖЕСТЬ!!!

Действительно, в сумантеке добились 100% детекта...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nike
Да, тролли порядком надоедают.

в соседней теме только что обсуждали эту проблему. не делают люди совсем выводы.

ЖЕСТЬ!!!

Действительно, в сумантеке добились 100% детекта...

можно поподробнее, пожалуйста? ничего по существу не увидел в вашей ссылке. очень любопытно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь

можно поподробнее, пожалуйста? ничего по существу не увидел в вашей ссылке. очень любопытно.

  1. Ссылка не моя.

Детектится всё, "что имеет в "облаке" рейтинг Unproven (Непроверенный) - 0 баллов, то есть использование в сообществе Norton (Norton Community) не было зарегистрировано, также файл не имеет цифровой подписи и еще несколько параметров".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Ну тогда можно поздравить сумантек со 100% Detection Rate :D

как и обещал сегодня проверил Symantec на своих собственных программах. Вердикт:

Symantec 20091.2.0.41 2010.02.13 Suspicious.Insight

Юрий, Вы оказались правы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ответ в Шутка Касперского обидела испанцев

Всё бы ничего, если бы эту шутку приурочили к 1 апреля.

Как и было раньше.

1 апреля 2003 года "ЛАБОРАТОРИЯ КАСПЕРСКОГО: НОВЫЙ ВИРУС УГРОЖАЕТ ЧЕЛОВЕКУ!"

http://stra.teg.ru/lenta/security/1386

1 апреля 2004 "Новый начальник 1 ОРЧ начал работу с ареста Касперского"

http://www.securitylab.ru/news/213711.php

1 апреля 2005 "Компания Доктор Веб покупает Лабораторию Касперского"

http://news.softodrom.ru/ap/b85.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Предлагаю выложить ознаменованные семплы в закрытом разделе, чтобы желающие, у кого есть доступ, тоже могли изучить их.

Без этого все утверждения о чистоте и безопасности ознаменованных семплов можно считать голословными.

Ссылки на некоторые - только шесть семплов - есть в теме выше.

Любое малейшее различие в их "Additional information" может считаться подтасовкой фактов.

Если на что-то (какой-то параметр в отчёте VT) нужно обратить особое внимание, то прошу указать это в посте, где будут выложены ссылки.

Я же могу проверить их только по своей коллекции antimalware и антивирусов, которых нет и не было в VirusTotale на момент проведения эксперимента. Эта проверка займёт время, но я и моя служба готовы его найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
что такое PDM KIS\KAV 2010? и имеется ли он на борту корпоративных продуктов?

PDM - это проактивная защита... У корпоративки есть, но за ее функционал не знаю. Не моя область.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну а что - кстати это показывает на отношение к ЛК другими вендорами - они доверяют вирлабу ЛК, хотя это палка о двух концах. Доверяй, но проверяй...

Пусть не забудут свою зарплату мне перечислять и могут дальше доверять сколько угодно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Кстати, мои 5 копеек. Я считаю, что репутационные технологии - это тупик. У Симантека оно реализовано настолько тупо, что дальше некуда. Cloud Poisoning - это будущее этой компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Пусть не забудут свою зарплату мне перечислять и могут дальше доверять сколько угодно.

Алекс, не забудь поделиться :rolleyes:

Не знаю, что вы тут нафлудили за все это время пока я был занят :), но технология "доверенный антивирус" - это давным-давно настоящее некоторых, гм, так называемых, антивирусных компаний. И что самое забавное, мы видим лишь вершину айсберга - тех, кто ворует даже имена детектов. А есть еще те, которые все-таки придумывают свои имена и их "поймать" намного сложнее.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
репутационные технологии - это тупик. У Симантека оно реализовано настолько тупо, что дальше некуда.

Ну не знаю. Я, конечно, не спец, но мне видится, что эта технология (в сумме с другими) - далеко не лишняя. Она интересна как в плане статистики, так и в плане безопасности. Ведь вердикт выносится судя по тому, были ли проблемы у комьюнити Симантек после скачки этого файла. Оказался ли он зловредом.

Любопытно было бы узнать, как Вы в идеале видите эту функцию. Или она вообще, по-вашему, бесполезна?

P.S. По теме. Не ожидал от Авиры такого позора... Я как про названия, так и про ложняки. Ладно там Комоды всякие, но Авира... O_o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Ну не знаю. Я, конечно, не спец, но мне видится, что эта технология (в сумме с другими) - далеко не лишняя. Она интересна как в плане статистики, так и в плане безопасности. Ведь вердикт выносится судя по тому, были ли проблемы у комьюнити Симантек после скачки этого файла. Оказался ли он зловредом.

А отправка данных надежно защищена?

А то возьмем снифер, подглядим отправку репутации и давай клепать липовую.

P.S. По теме. Не ожидал от Авиры такого позора... Я как про названия, так и про ложняки. Ладно там Комоды всякие, но Авира... O_o

Про Авиру, вроде как давно было известно. И вроде как не только у Касперского они таскают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svh

Если ничего не путаю, репутационки в чистом виде (аналог кворума) у ЛК нет? Это что касается "мотивов"))

Вообще очень странная ситуация - заимствование детектов называют, в зависимости от настроения - кражей собственности или сотрудничеством.

Тут недавно, в соседней теме, про Адама Смита рассуждали, дескать, если не выгодно АВ-вендорам сотрудничество, то и не будет оного. Видимо, ЛК на данном этапе оно не выгодно ни под каким соусом. Подобные действия - явная попытка показать, кто тут "самый самый", а кто мышей не ловит, разговор с сообществом с позиции силы. Показательно, что ЛК давно так в публичном пространстве не разговаривала. Погладим, чем это все обернется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
Если ничего не путаю, репутационки в чистом виде (аналог кворума) у ЛК нет? Это что касается "мотивов"))

Каких мотивов?

Вообще очень странная ситуация - заимствование детектов называют, в зависимости от настроения - кражей собственности или сотрудничеством.

Ничего странного. Если есть разрешение/договор - это сотрудничество, если нет разрешения - это кража.

Тут недавно, в соседней теме, про Адама Смита рассуждали, дескать, если не выгодно АВ-вендорам сотрудничество, то и не будет оного. Видимо, ЛК на данном этапе оно не выгодно ни под каким соусом. Подобные действия - явная попытка показать, кто тут "самый самый", а кто мышей не ловит, разговор с сообществом с позиции силы. Показательно, что ЛК давно так в публичном пространстве не разговаривала. Погладим, чем это все обернется.

Может и так.

Интересно, а как бы вы реагировали, если сделали и поддерживаете базу данных, а кто-то "за так", ее копирует и раздает/продает?

PS. Только тому, кто ничего не сделал нечего опасаться, что его работу украдут.

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×