Перейти к содержанию

Recommended Posts

EYE

В последнее время, ЛК стала с "завидным" постоянством,

"радовать" своих пользователей ложными срабатываниями.

Причём, речь идет именно о тенденции, а не о нескольких,

"досадных" ошибках.

Вот последние примеры этой тенденции:

http://forum.kaspersky.com/index.php?showtopic=24301

http://forum.kaspersky.com/index.php?showtopic=24275

http://forum.kaspersky.com/index.php?showtopic=24316

http://forum.kaspersky.com/index.php?showtopic=24309

А вот цитаты из сообщений, "счастливых" пользователей:

"День добрый!

Утром Касперский, как всегда, проверил систему. Нашел два опасных объекта, назвал их троянами и пообещал удалить при перезагрузке.

После перезагрузки я не могу ни сохранить файлы, ни скопировать, программы не работают - в общем, веселюсь по полной....

Что с этим делать?"

"У меня в офисе такая же херь, только еще веселее малость, все сетевые настройки падають и службы, так что еще и сеть рухнула.

Че бум делать?"

"На компьютере установлена WindowsXP SP1 и KAV 6.0.0.303

После обновления сигнатур от 01.11.2006 18:43:47 антивирус нашел Backdoor.Win32.RBot.bnb в svchost.exe. В путях windowssystem32, windowssystem32dllcache, а так же в установке Windows, которая лежала на винте, в файле svchost.ex_

Конечно после лечения удалил всё что нашел и система в итоге слетела.

Внимание вопрос, почему антивирус находит этот вирус на лицензионном диске в файле svchost.ex_ ?"

"В энциклопедии пока никакого описания. Хотя антивирь во всю ругается с самого утра. Есть отзывы людей, у которых при попытке лечения грохалась насмерть винда.

Что делать то с ним?

Кстати, он-лайн проверка файла ничего в нем не находит..."

"После очередного обновления на файлы, упакованные MEW стал ругаться как на Backdoor.Win32.Ciadoor.13. Это именно "ложняк" и именно на код распаковщика, потому что распакованные файлы уже никак не детектируются."

"Ну что это такое уже понятно. теперь вопрос - а что с ним делать?"

"опять?!"

"меня это тоже _очень_ сильно волнует сейчас!

9 машин готовы к полету в никуда.

rbot.bnb найден, но пока "лечение отложено"

"восстановил svchost.exe из резервного хранилища.

обновил на всякий случай базы вручную.

теперь не находит.

на 10-ти компьютерах где это произошло стоит winxpprosp1/

версия kav 528 и 676.

спасибо за потраченные нервные клеточки..."

"После активного лечения уже возврат файла назат непомагает.

Видимо каспер "почичтил" реестр."

В конце, можно привести текст риторического вопроса,

из раздела форума ЛК "Задай вопрос Евгению Касперскому":

http://forum.kaspersky.com/index.php?showtopic=24236

"Здравствуйте. Хочется вам задать животрепещущий вопрос.

Сегодня наверно у ваших вирусных аналитиков был день шуток.

Сначала у меня обновились базы в 10.45 начался фолс по файлу C:windowssystem32dllcachewextract.exe, обнаружено: троянская программа Backdoor.Win32.Hupigon.cvx.

Но, поскольку я сталкиваюсь, с усердным рвениям ваших вирусных аналитиков не впервой, то я опять пробую обновиться. Обновляюсь. База 13.32. Проверяю с WEXTRACT.EXE всё в порядке, НО начинается фолс по файлу C:WINDOWS$NtServicePackUninstall$svchost.exe, обнаружено: троянская программа Backdoor.Win32.Rbot.bnb . Сейчас обновил, проверил, вроде всё нормально.

Помнится, последняя громкая шумиха, по этому поводу, была, где-то пол года, или год назад. Ложанулась McAfee. Шумиха была на весь Мир.

У Вас тишь да благодать. Я рад за Вас.

Но, по поводу Ваших высказываний, выйти на пятое место по доходам. У меня возникли два вопроса:

1.Не боитесь. Ведь корпоративные… молчать не будут.

2.Будут ли сделаны, какие ни будь выводы. Конечно, скорость важна. Но в таком деле, я считаю, должна быть актуальна поговорка, такого плана: Пять, раз проверь, один добавь"

______________________________________________________________

Представляю, что бы было, если бы подобную тенденцию, позволили себе Symantec, McAfee, или Trend Micro...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
В последнее время, ЛК стала с "завидным" постоянством,

"радовать" своих пользователей ложными срабатываниями.

Причём, речь идет именно о тенденции, а не о нескольких,

"досадных" ошибках.

Вот последние примеры этой тенденции:

http://forum.kaspersky.com/index.php?showtopic=24301

http://forum.kaspersky.com/index.php?showtopic=24275

http://forum.kaspersky.com/index.php?showtopic=24316

http://forum.kaspersky.com/index.php?showtopic=24309

А вот цитаты из сообщений, "счастливых" пользователей:

"День добрый!

Утром Касперский, как всегда, проверил систему. Нашел два опасных объекта, назвал их троянами и пообещал удалить при перезагрузке.

После перезагрузки я не могу ни сохранить файлы, ни скопировать, программы не работают - в общем, веселюсь по полной....

Что с этим делать?"

"У меня в офисе такая же херь, только еще веселее малость, все сетевые настройки падають и службы, так что еще и сеть рухнула.

Че бум делать?"

"На компьютере установлена WindowsXP SP1 и KAV 6.0.0.303

После обновления сигнатур от 01.11.2006 18:43:47 антивирус нашел Backdoor.Win32.RBot.bnb в svchost.exe. В путях windowssystem32, windowssystem32dllcache, а так же в установке Windows, которая лежала на винте, в файле svchost.ex_

Конечно после лечения удалил всё что нашел и система в итоге слетела.

Внимание вопрос, почему антивирус находит этот вирус на лицензионном диске в файле svchost.ex_ ?"

"В энциклопедии пока никакого описания. Хотя антивирь во всю ругается с самого утра. Есть отзывы людей, у которых при попытке лечения грохалась насмерть винда.

Что делать то с ним?

Кстати, он-лайн проверка файла ничего в нем не находит..."

"После очередного обновления на файлы, упакованные MEW стал ругаться как на Backdoor.Win32.Ciadoor.13. Это именно "ложняк" и именно на код распаковщика, потому что распакованные файлы уже никак не детектируются."

"Ну что это такое уже понятно. теперь вопрос - а что с ним делать?"

"опять?!"

"меня это тоже _очень_ сильно волнует сейчас!

9 машин готовы к полету в никуда.

rbot.bnb найден, но пока "лечение отложено"

"восстановил svchost.exe из резервного хранилища.

обновил на всякий случай базы вручную.

теперь не находит.

на 10-ти компьютерах где это произошло стоит winxpprosp1/

версия kav 528 и 676.

спасибо за потраченные нервные клеточки..."

"После активного лечения уже возврат файла назат непомагает.

Видимо каспер "почичтил" реестр."

В конце, можно привести текст риторического вопроса,

из раздела форума ЛК "Задай вопрос Евгению Касперскому":

http://forum.kaspersky.com/index.php?showtopic=24236

"Здравствуйте. Хочется вам задать животрепещущий вопрос.

Сегодня наверно у ваших вирусных аналитиков был день шуток.

Сначала у меня обновились базы в 10.45 начался фолс по файлу C:windowssystem32dllcachewextract.exe, обнаружено: троянская программа Backdoor.Win32.Hupigon.cvx.

Но, поскольку я сталкиваюсь, с усердным рвениям ваших вирусных аналитиков не впервой, то я опять пробую обновиться. Обновляюсь. База 13.32. Проверяю с WEXTRACT.EXE всё в порядке, НО начинается фолс по файлу C:WINDOWS$NtServicePackUninstall$svchost.exe, обнаружено: троянская программа Backdoor.Win32.Rbot.bnb . Сейчас обновил, проверил, вроде всё нормально.

Помнится, последняя громкая шумиха, по этому поводу, была, где-то пол года, или год назад. Ложанулась McAfee. Шумиха была на весь Мир.

У Вас тишь да благодать. Я рад за Вас.

Но, по поводу Ваших высказываний, выйти на пятое место по доходам. У меня возникли два вопроса:

1.Не боитесь. Ведь корпоративные… молчать не будут.

2.Будут ли сделаны, какие ни будь выводы. Конечно, скорость важна. Но в таком деле, я считаю, должна быть актуальна поговорка, такого плана: Пять, раз проверь, один добавь"

______________________________________________________________

Представляю, что бы было, если бы подобную тенденцию, позволили себе Symantec, McAfee, или Trend Micro...

1. Ошибаться могут все. Вот, к примеру, свежие примеры false alarm NOD32:

http://www.wilderssecurity.com/showthread....highlight=false

http://www.wilderssecurity.com/showthread....highlight=false

http://www.wilderssecurity.com/showthread....highlight=false

Не исключено, что ЛК ошибается чаще. Это понятно, поскольку вирусная лаборатория этого вендора отличается высокой скоростью реакции и очень часто обновляет базы. Вы правы, в последнее время вирусные аналитиаки этого вендора стали намного чаще ошибаться, но надеюсь, что ЛК примет необходимые меры для уменьшения числа ложных срабатываний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

тенденция плохая

Я тоже надеюсь, а то свою основную отстройку потеряют: качество детекта и скорость реакции

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE

Вы полагаете, что это сопоставимо ? :)

Ошибаться могут все...
Не исключено, что ЛК ошибается чаще. Это понятно, поскольку вирусная лаборатория этого вендора отличается высокой скоростью реакции и очень часто обновляет базы. Вы правы, в последнее время вирусные аналитиаки этого вендора стали намного чаще ошибаться, но надеюсь, что ЛК примет необходимые меры для уменьшения числа ложных срабатываний.

После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Вы полагаете, что это сопоставимо ? :)

А я разве писал, что это сопоставимо в данной ситуации? Я лишь указад на свежие примеры.

После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний,

Насколько я знаю, Ваш любимый NOD32 ошибается чаще (если принимать вов внимание эвристику). Как на счет преспектив NODа? :)

для которых девиз "Ошибаться могут все..." не является приемлемым.

Это не девиз. Это - объективная реальность с которой необходимо считаться. Полагаю, что даже самые "осторожные" вирусные лаборатории не застрахованы от ошибок.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

Надеюсь это Вы уже прочитали:

http://www.kaspersky.ru/about

http://anti-malware.ru/phpbb/viewtopic.php?t=527

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ЛК даже специальну утилиту выпустили для восстановления svchost.exe, о чем сообщается по ссылке в базе знаний выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Вот здесь более точная информация.

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Комментарии по факту ложных срабатываний антивируса от 1 ноября 2006 года

http://www.kaspersky.ru/faq?qid=204175566

Я только не понял причём тут варезов?

С 31/10 по 02/11 я насчитал 3 новых версии:

ex - 07:44 от 01/11

ey - 19:06 от 02/11

ez - 19:06 от 02/11

http://www.kaspersky.ru/viruswatchlite

Вот здесь более точная информация.

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Да.

Данные - одинаковые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно. Похоже, пора переходить к полной проактивности.. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно.

Согласен, что следует признать наличие проблемы, над которой нужно работать. Да "темп выдерживать" становится сложно, но по моему ЛК пока справляется с этой задачей.

Похоже, пора переходить к полной проактивности.. :(

NickGolovko Более оптимальным решением полагаю, будет сочетание реактивного и проактивного метода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Ну да, истина всегда посередине, но... просто всегда ли антивирусные компании будут хотя бы минимально успевать?.. Е.К. вон недавно в очередной раз предрек победу хакеров. :)

Но, пожалуй, пока что вы более правы. :D Я где-то слышал, что Safe'N'Sec тоже пришлось вводить сигнатуры - а, значит, пока полная проактивность не достижима. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
осле подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

Соглашусь полностью. Был у нас уже такой случай. Причем произошло это не в комерческой структуре, а в гос.учереждении. Естественно всё по лицензии и т.д. Но когда упали 90% - пришлось раз и навсегда отказаться от использования.. и отголоски того печального опыта имеют место быть до сих пор, к сожалению или к счастью...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
После подобной "ошибки" ,приводящей к полному падению системы либо сети, которую себе походя позволяет ЛК

не в первый раз, экономические перспективы и,соответственно, будущее любой компании, занимающейся изготовлением антивирусного ПО в цивилизованном мире, были бы весьма туманны, а бывшие клиенты подобной компании, незамедлительно предпочли бы воспользоваться услугами других компаний, для которых девиз "Ошибаться могут все..." не является приемлемым.

ЛК спасает лишь то, что ее продукты, скажем так, не пользуются

какой-либо популярностью у корпоративных клиентов в цивилизованном мире.

А после подобной наглядной демонстрации, сомнительно, что

когда-либо будут...

ошибка очень досадная, но насчет цивилизованного мира и прочего планета смеется. ЛК зарабатывает в Германии больше, чем в России.

И позиции у ЛК в цивилизованом мире уж не хуже, чем у Eset например:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Тенденция есть, и неприятная, это следует признать. Видимо, выдерживать темп при современном вирусообороте практически уже невозможно

Не соглашусь со словом невозможно, но принципиально согласен. :)

Боюсь только, что не только Warezov в данном случае непричём, но и вообще вирусная ситуация на 31/10-01/11 была обычной: 100-150 зловредов в день. См.аттач.

Причина этих фолсов ну никак не в вирусной активности.

Кстати, на форуме касперского была идея разделить базы на стабильные и urgent, т.е, например, файловый антивирус и сканер работают с "отстоявшимися" базами, а веб-антивирус (включая почтовик) с текущими.

Насколько реализуема технически данная идея?

_______________31.10_01.11.pdf

_______________31.10_01.11.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
ошибка очень досадная, но насчет цивилизованного мира и прочего планета смеется. ЛК зарабатывает в Германии больше, чем в России.

И позиции у ЛК в цивилизованом мире уж не хуже, чем у Eset например:)

"планета смеется" - под планетой понимается форум ЛК и иже с ним или

что-то более масштабное, а, Иван ?

Насчет Германии - а что, это о чем-то говорит, учитывая то,

что в России за ПО мало кто платит ?

В общем посмотрим, на "смех планеты", когда начнут сказываться

последствия этих, как Вы сказали, "досадных ошибок"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Согласен с EYE. Продажи в Германии и России я бы не стал сравнивать)) Из всех своих знакомых(в России естественно), у кого стоит Касп, ни у одного нет купленной на него лицензии. Все где-то, что-то, как-то пытаются ухватить. И вроде бы им достаточно этого, по крайней мере по их отзывам - они довольны и платить наврят ли собираются. Мол "а зачем?", "а какой смысл, ведь и так работает, и ладно" :) Таков уж наш русский, порой нахальный, менталитет. 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Да уж, наидосаднейший такой фолз :lol: Все! Теперь придется отказатся от нортона навсегда...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Вы считаете, что это сопоставимо с убиением svchost ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
У Нортона недавно был досадный фолз. Программа кот. используют священники детектилась. Шуму в Англии было много.

Который тут же исправили. Но проповеди сорвались. Пастору нечего было обсудить с паствой без ноутбука. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Который тут же исправили.

А Что в ЛК не тут же исправили?

По поводу примера: я хотел донести мысль, что и у крупнейших вендоров бывают досадные фолзы, и если это оперативно решается (утилита для востановление свхоста от ЛК) и из этого делаются выводы, то в этом нет ничего криминального-досадная оплошность и не более того. "Лучше перебдеть, чем недобдеть" :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
По поводу примера: я хотел донести мысль, что и у крупнейших вендоров бывают досадные фолзы, и если это оперативно решается (утилита для востановление свхоста от ЛК) и из этого делаются выводы, то в этом нет ничего криминального-досадная оплошность и не более того. "Лучше перебдеть, чем недобдеть"

Читаю, и глазам не верю...

Убить систему, полностью обрушить сеть, одним словом совершить то,

что не каждому "микробу" под силу, это по-вашему "досадная оплошность и не более того" ? :shock:

Это не даже не смешно, это убого...

P.S. Сотрудники ЛК, обожают разглагольствовать на тему

Уголовного кодекса. В связи с этим, спрошу - может стоит кого-то

привлечь к ответственности - за написание вредоносных программ, например ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

.S. Сотрудники ЛК, обожают разглагольствовать на тему

Уголовного кодекса. В связи с этим, спрошу - может стоит кого-то

привлечь к ответственности - за написание вредоносных программ, например ?

Не катит, т.к. нет умысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×