EYE

"Эпидемия" False Alarm Kaspersky

В этой теме 32 сообщений

В последнее время, ЛК стала с "завидным" постоянством,

"радовать" своих пользователей ложными срабатываниями.

Причём, речь идет именно о тенденции, а не о нескольких,

"досадных" ошибках.

Вот последние примеры этой тенденции:

http://forum.kaspersky.com/index.php?showtopic=24301

http://forum.kaspersky.com/index.php?showtopic=24275

http://forum.kaspersky.com/index.php?showtopic=24316

http://forum.kaspersky.com/index.php?showtopic=24309

А вот цитаты из сообщений, "счастливых" пользователей:

"День добрый!

Утром Касперский, как всегда, проверил систему. Нашел два опасных объекта, назвал их троянами и пообещал удалить при перезагрузке.

После перезагрузки я не могу ни сохранить файлы, ни скопировать, программы не работают - в общем, веселюсь по полной....

Что с этим делать?"

"У меня в офисе такая же херь, только еще веселее малость, все сетевые настройки падають и службы, так что еще и сеть рухнула.

Че бум делать?"

"На компьютере установлена WindowsXP SP1 и KAV 6.0.0.303

После обновления сигнатур от 01.11.2006 18:43:47 антивирус нашел Backdoor.Win32.RBot.bnb в svchost.exe. В путях windowssystem32, windowssystem32dllcache, а так же в установке Windows, которая лежала на винте, в файле svchost.ex_

Конечно после лечения удалил всё что нашел и система в итоге слетела.

Внимание вопрос, почему антивирус находит этот вирус на лицензионном диске в файле svchost.ex_ ?"

"В энциклопедии пока никакого описания. Хотя антивирь во всю ругается с самого утра. Есть отзывы людей, у которых при попытке лечения грохалась насмерть винда.

Что делать то с ним?

Кстати, он-лайн проверка файла ничего в нем не находит..."

"После очередного обновления на файлы, упакованные MEW стал ругаться как на Backdoor.Win32.Ciadoor.13. Это именно "ложняк" и именно на код распаковщика, потому что распакованные файлы уже никак не детектируются."

"Ну что это такое уже понятно. теперь вопрос - а что с ним делать?"

"опять?!"

"меня это тоже _очень_ сильно волнует сейчас!

9 машин готовы к полету в никуда.

rbot.bnb найден, но пока "лечение отложено"

"восстановил svchost.exe из резервного хранилища.

обновил на всякий случай базы вручную.

теперь не находит.

на 10-ти компьютерах где это произошло стоит winxpprosp1/

версия kav 528 и 676.

спасибо за потраченные нервные клеточки..."

"После активного лечения уже возврат файла назат непомагает.

Видимо каспер "почичтил" реестр."

В конце, можно привести текст риторического вопроса,

из раздела форума ЛК "Задай вопрос Евгению Касперскому":

http://forum.kaspersky.com/index.php?showtopic=24236

"Здравствуйте. Хочется вам задать животрепещущий вопрос.

Сегодня наверно у ваших вирусных аналитиков был день шуток.

Сначала у меня обновились базы в 10.45 начался фолс по файлу C:windowssystem32dllcachewextract.exe, обнаружено: троянская программа Backdoor.Win32.Hupigon.cvx.

Но, поскольку я сталкиваюсь, с усердным рвениям ваших вирусных аналитиков не впервой, то я опять пробую обновиться. Обновляюсь. База 13.32. Проверяю с WEXTRACT.EXE всё в порядке, НО начинается фолс по файлу C:WINDOWS$NtServicePackUninstall$svchost.exe, обнаружено: троянская программа Backdoor.Win32.Rbot.bnb . Сейчас обновил, проверил, вроде всё нормально.

Помнится, последняя громкая шумиха, по этому поводу, была, где-то пол года, или год назад. Ложанулась McAfee. Шумиха была на весь Мир.

У Вас тишь да благодать. Я рад за Вас.

Но, по поводу Ваших высказываний, выйти на пятое место по доходам. У меня возникли два вопроса:

1.Не боитесь. Ведь корпоративные… молчать не будут.

2.Будут ли сделаны, какие ни будь выводы. Конечно, скорость важна. Но в таком деле, я считаю, должна быть актуальна поговорка, такого плана: Пять, раз проверь, один добавь"

______________________________________________________________

Представляю, что бы было, если бы подобную тенденцию, позволили себе Symantec, McAfee, или Trend Micro...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В последнее время, ЛК стала с "завидным" постоянством,

"радовать" своих пользователей ложными срабатываниями.

Причём, речь идет именно о тенденции, а не о нескольких,

"досадных" ошибках.

Вот последние примеры этой тенденции:

http://forum.kaspersky.com/index.php?showtopic=24301

http://forum.kaspersky.com/index.php?showtopic=24275

http://forum.kaspersky.com/index.php?showtopic=24316

http://forum.kaspersky.com/index.php?showtopic=24309

А вот цитаты из сообщений, "счастливых" пользователей:

"День добрый!

Утром Касперский, как всегда, проверил систему. Нашел два опасных объекта, назвал их троянами и пообещал удалить при перезагрузке.

После перезагрузки я не могу ни сохранить файлы, ни скопировать, программы не работают - в общем, веселюсь по полной....

Что с этим делать?"

"У меня в офисе такая же херь, только еще веселее малость, все сетевые настройки падають и службы, так что еще и сеть рухнула.

Че бум делать?"

"На компьютере установлена WindowsXP SP1 и KAV 6.0.0.303

После обновления сигнатур от 01.11.2006 18:43:47 антивирус нашел Backdoor.Win32.RBot.bnb в svchost.exe. В путях windowssystem32, windowssystem32dllcache, а так же в установке Windows, которая лежала на винте, в файле svchost.ex_

Конечно после лечения удалил всё что нашел и система в итоге слетела.

Внимание вопрос, почему антивирус находит этот вирус на лицензионном диске в файле svchost.ex_ ?"

"В энциклопедии пока никакого описания. Хотя антивирь во всю ругается с самого утра. Есть отзывы людей, у которых при попытке лечения грохалась насмерть винда.

Что делать то с ним?

Кстати, он-лайн проверка файла ничего в нем не находит..."

"После очередного обновления на файлы, упакованные MEW стал ругаться как на Backdoor.Win32.Ciadoor.13. Это именно "ложняк" и именно на код распаковщика, потому что распакованные файлы уже никак не детектируются."

"Ну что это такое уже понятно. теперь вопрос - а что с ним делать?"

"опять?!"

"меня это тоже _очень_ сильно волнует сейчас!

9 машин готовы к полету в никуда.

rbot.bnb найден, но пока "лечение отложено"

"восстановил svchost.exe из резервного хранилища.

обновил на всякий случай базы вручную.

теперь не находит.

на 10-ти компьютерах где это произошло стоит winxpprosp1/

версия kav 528 и 676.

спасибо за потраченные нервные клеточки..."

"После активного лечения уже возврат файла назат непомагает.

Видимо каспер "почичтил" реестр."

В конце, можно привести текст риторического вопроса,

из раздела форума ЛК "Задай вопрос Евгению Касперскому":

http://forum.kaspersky.com/index.php?showtopic=24236

"Здравствуйте. Хочется вам задать животрепещущий вопрос.

Сегодня наверно у ваших вирусных аналитиков был день шуток.

Сначала у меня обновились базы в 10.45 начался фолс по файлу C:windowssystem32dllcachewextract.exe, обнаружено: троянская программа Backdoor.Win32.Hupigon.cvx.

Но, поскольку я сталкиваюсь, с усердным рвениям ваших вирусных аналитиков не впервой, то я опять пробую обновиться. Обновляюсь. База 13.32. Проверяю с WEXTRACT.EXE всё в порядке, НО начинается фолс по файлу C:WINDOWS$NtServicePackUninstall$svchost.exe, обнаружено: троянская программа Backdoor.Win32.Rbot.bnb . Сейчас обновил, проверил, вроде всё нормально.

Помнится, последняя громкая шумиха, по этому поводу, была, где-то пол года, или год назад. Ложанулась McAfee. Шумиха была на весь Мир.

У Вас тишь да благодать. Я рад за Вас.

Но, по поводу Ваших высказываний, выйти на пятое место по доходам. У меня возникли два вопроса:

1.Не боитесь. Ведь корпоративные… молчать не будут.

2.Будут ли сделаны, какие ни будь выводы. Конечно, скорость важна. Но в таком деле, я считаю, должна быть актуальна поговорка, такого плана: Пять, раз проверь, один добавь"

______________________________________________________________

Представляю, что бы было, если бы подобную тенденцию, позволили себе Symantec, McAfee, или Trend Micro...

1. Ошибаться могут все. Вот, к примеру, свежие примеры false alarm NOD32:

http://www.wilderssecurity.com/showthread....highlight=false

http://www.wilderssecurity.com/showthread....highlight=false

http://www.wilderssecurity.com/showthread....highlight=false

Не исключено, что ЛК ошибается чаще. Это понятно, поскольку вирусная лаборатория этого вендора отличается высокой скоростью реакции и очень часто обновляет базы. Вы правы, в последнее время вирусные аналитиаки этого вендора стали намного чаще ошибаться, но надеюсь, что ЛК примет необходимые меры для уменьшения числа ложных срабатываний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тенденция плохая

Я тоже надеюсь, а то свою основную отстройку потеряют: качество детекта и скорость реакции

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы полагаете, что это сопоставимо ? :)

Ошибаться могут все...
Не исключено, что ЛК ошибается чаще. Это понятно, поскольку вирусная лаборатория этого вендора отличается высокой скоростью реакции и очень часто обновляет базы. Вы правы, в последнее время вирусные аналитиаки этого вендора стали намного чаще ошибаться, но надеюсь, что ЛК примет необходимые меры для уменьшения числа ложных срабатываний.

После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы полагаете, что это сопоставимо ? :)

А я разве писал, что это сопоставимо в данной ситуации? Я лишь указад на свежие примеры.

После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний,

Насколько я знаю, Ваш любимый NOD32 ошибается чаще (если принимать вов внимание эвристику). Как на счет преспектив NODа? :)

для которых девиз "Ошибаться могут все..." не является приемлемым.

Это не девиз. Это - объективная реальность с которой необходимо считаться. Полагаю, что даже самые "осторожные" вирусные лаборатории не застрахованы от ошибок.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

Надеюсь это Вы уже прочитали:

http://www.kaspersky.ru/about

http://anti-malware.ru/phpbb/viewtopic.php?t=527

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ЛК даже специальну утилиту выпустили для восстановления svchost.exe, о чем сообщается по ссылке в базе знаний выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Вот здесь более точная информация.

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Вот здесь более точная информация.

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Да.

Данные - одинаковые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно. Похоже, пора переходить к полной проактивности.. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно.

Согласен, что следует признать наличие проблемы, над которой нужно работать. Да "темп выдерживать" становится сложно, но по моему ЛК пока справляется с этой задачей.

Похоже, пора переходить к полной проактивности.. :(

NickGolovko Более оптимальным решением полагаю, будет сочетание реактивного и проактивного метода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну да, истина всегда посередине, но... просто всегда ли антивирусные компании будут хотя бы минимально успевать?.. Е.К. вон недавно в очередной раз предрек победу хакеров. :)

Но, пожалуй, пока что вы более правы. :D Я где-то слышал, что Safe'N'Sec тоже пришлось вводить сигнатуры - а, значит, пока полная проактивность не достижима. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
осле подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

Соглашусь полностью. Был у нас уже такой случай. Причем произошло это не в комерческой структуре, а в гос.учереждении. Естественно всё по лицензии и т.д. Но когда упали 90% - пришлось раз и навсегда отказаться от использования.. и отголоски того печального опыта имеют место быть до сих пор, к сожалению или к счастью...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

ошибка очень досадная, но насчет цивилизованного мира и прочего планета смеется. ЛК зарабатывает в Германии больше, чем в России.

И позиции у ЛК в цивилизованом мире уж не хуже, чем у Eset например:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно

Не соглашусь со словом невозможно, но принципиально согласен. :)

Боюсь только, что не только Warezov в данном случае непричём, но и вообще вирусная ситуация на 31/10-01/11 была обычной: 100-150 зловредов в день. См.аттач.

Причина этих фолсов ну никак не в вирусной активности.

Кстати, на форуме касперского была идея разделить базы на стабильные и urgent, т.е, например, файловый антивирус и сканер работают с "отстоявшимися" базами, а веб-антивирус (включая почтовик) с текущими.

Насколько реализуема технически данная идея?

_______________31.10_01.11.pdf

_______________31.10_01.11.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ошибка очень досадная, но насчет цивилизованного мира и прочего планета смеется. ЛК зарабатывает в Германии больше, чем в России.

И позиции у ЛК в цивилизованом мире уж не хуже, чем у Eset например:)

"планета смеется" - под планетой понимается форум ЛК и иже с ним или

что-то более масштабное, а, Иван ?

Насчет Германии - а что, это о чем-то говорит, учитывая то,

что в России за ПО мало кто платит ?

В общем посмотрим, на "смех планеты", когда начнут сказываться

последствия этих, как Вы сказали, "досадных ошибок"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Согласен с EYE. Продажи в Германии и России я бы не стал сравнивать)) Из всех своих знакомых(в России естественно), у кого стоит Касп, ни у одного нет купленной на него лицензии. Все где-то, что-то, как-то пытаются ухватить. И вроде бы им достаточно этого, по крайней мере по их отзывам - они довольны и платить наврят ли собираются. Мол "а зачем?", "а какой смысл, ведь и так работает, и ладно" :) Таков уж наш русский, порой нахальный, менталитет. 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да уж, наидосаднейший такой фолз :lol: Все! Теперь придется отказатся от нортона навсегда...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Вы считаете, что это сопоставимо с убиением svchost ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Который тут же исправили. Но проповеди сорвались. Пастору нечего было обсудить с паствой без ноутбука. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Который тут же исправили.

А Что в ЛК не тут же исправили?

По поводу примера: я хотел донести мысль, что и у крупнейших вендоров бывают досадные фолзы, и если это оперативно решается (утилита для востановление свхоста от ЛК) и из этого делаются выводы, то в этом нет ничего криминального-досадная оплошность и не более того. "Лучше перебдеть, чем недобдеть" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По поводу примера: я хотел донести мысль, что и у крупнейших вендоров бывают досадные фолзы, и если это оперативно решается (утилита для востановление свхоста от ЛК) и из этого делаются выводы, то в этом нет ничего криминального-досадная оплошность и не более того. "Лучше перебдеть, чем недобдеть"

Читаю, и глазам не верю...

Убить систему, полностью обрушить сеть, одним словом совершить то,

что не каждому "микробу" под силу, это по-вашему "досадная оплошность и не более того" ? :shock:

Это не даже не смешно, это убого...

P.S. Сотрудники ЛК, обожают разглагольствовать на тему

Уголовного кодекса. В связи с этим, спрошу - может стоит кого-то

привлечь к ответственности - за написание вредоносных программ, например ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

.S. Сотрудники ЛК, обожают разглагольствовать на тему

Уголовного кодекса. В связи с этим, спрошу - может стоит кого-то

привлечь к ответственности - за написание вредоносных программ, например ?

Не катит, т.к. нет умысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS