Результаты июньского Virus Bulletin

[Иван 290]

я прошу прощения,если задел

я имел в виду лишь ваши несколько пренебрежительные отзывы о существующих тестах

охренеть ... Клементи родил новый тест. Поскольку коллекция по-прежнему закрыта - воспроизводимость результатов - 0. Веселуха....

[Сергей Ильин 1538]

Комментарий Евгения Касперского по поводу провала теста ЛК:

Причина неполучения VB100% - мы пропустили одного троянца из тестового набора VB. Причина пропуска - технический сбой. По пока неясным причинам запись, которая детектит этого трояна была удалена из антивирусных баз (вернее - удалено было сразу несколько записей, но на VB100% сказалась только одна). Получилось так, что мы не детектили этого трояна всего один (или пару) дней - но именно в этот день и проходили тесты VB. Причина сбоя выясняется. В планы по дальнейшей разработке робота тестирования апдейтов добавлена доработка аудитов апдейтов.

http://forum.kasperskyclub.com/index.php?s...amp;#entry16563[/code]

[Олег Гудилин 95]

Причина, по которой была временно удалена сигнатура установлена. Дело не в неожиданном техническом сбое, тем не менее система аудита апдейтов позволит предотвратить возможные проблемы в дальнейшем.

Официальный ответ ЛК следующий:

Почему Антивирус Касперского 6.0 не прошел июньский тест Virus Bulletin

Как стало известно некоторое время назад, Антивирус Касперского 6.0 впервые с 2003 года не прошел тест британского журнала Virus Bulletin. По сообщению журнала, это произошло из-за того, что во время тестирования не был обнаружен один экземпляр из вредоносной коллекции журнала - Net-Worm.Win32.Allaple.e.

Как пишет специалист Virus Bulletin Джон Хоуз, «сигнатура этого червя была в антивирусных базах «Лаборатории Касперского» как за несколько дней до нашего тестирования, так и через несколько дней после него, и, предположительно, была временно убрана из баз для исправления. Этого неудачно выбранного времени оказалось достаточно, чтобы испортить долгую серию наград VB100, полученных «Лабораторией Касперского»».

Что же произошло в действительности?

Сигнатура червя Net-Worm.Win32.Allaple.e была включена в антивирусные базы «Лаборатории Касперского» еще 1 февраля 2007 года, сразу после появления данной вредоносной программы в «живой природе», - то есть задолго до теста Virus Bulletin.

Однако в рамках активной работы антивирусных экспертов, направленной на снижение количества ложных срабатываний и оптимизацию работы антивирусных продуктов, сигнатура Net-Worm.Win32.Allaple.e была на короткое время изъята из баз для дополнительного тестирования. Важно отметить, что временное отсутствие этой сигнатуры не представляло угрозы для пользователей – данный экземпляр червя со стопроцентной вероятностью обнаруживается модулем проактивной защиты, реализованным в шестом поколении продуктов «Лаборатории Касперского».

Но по стечению обстоятельств именно в этот момент, 30 апреля 2007 года, Virus Bulletin собирал свежие антивирусные базы для всех тестируемых продуктов. Так как в тесте Virus Bulletin использовался только сигнатурный метод детектирования вредоносных программ, червь Net-Worm.Win32.Allaple.e не был обнаружен при тестировании, что и стало причиной неполучения награды VB100.

Проактивная защита

Модуль проактивной защиты «Лаборатории Касперского» способен эффективно блокировать активность значительного процента вредоносных программ, включая Net-Worm.Win32.Allaple.e, даже если сигнатура программы отсутствует в антивирусных базах. На экран выводится уведомление, где указывается приложение, тип его активности, история выполненных действий. После того, как выполнение вредоносной программы на компьютере будут завершено, пользователь может отменить все действия, выполненные вредоносным процессом на компьютере пользователя.

Скриншот ниже демонстрирует реакцию Антвируса Касперского 6.0 при попытке запуска Net-Worm.Win32.Allaple.e.

Заключение

Конечно, мы очень разочарованы тем, что многолетняя серия неизменно успешных тестов Virus Bulletin, длившаяся с августа 2003 по май 2007 года, прервалась из-за неудачного стечения обстоятельств.

Однако мы с удовлетворением отмечаем, что безопасность защиты наших пользователей не была поставлена под угрозу даже в тот короткий период, когда сигнатура Net-Worm.Win32.Allaple.e была удалена из антивирусных баз – потому что проактивная защита, интегрированная в наши продукты, гарантированно блокирует эту вредоносную программу

[Dmitry Perets 30]

Здесь ЛК всё же лукавит... Проактивная защита ведь действует только у домашних пользователей. А как же продукты для периметра? Видимо, сигнатура реально фолсила, раз её решили вот так вот изъять... Иначе было бы логичнее сначала оптимизировать её, а потом сразу заменить старую версию на новую...

[Dexter 20]

Кстати, вопрос.

Это общая, нормальная практика?

Т.е. изъятие сигнатур происходит у всех вендоров?

Если да, то зачем и как часто?

[Иван 290]

неправда ваша, проактивная защита входит в корпоративные решения - смотри скриншот

что касается решений для шлюзов и почты, то да вирь скввозь них бы прошел, но потом бы потом все равно был бы словлен на рабстанции (если там касперский - то касперским, если нет - другим антивирем). Для этого и существует эшелонированная защита. много вы видели компаний, где защита тока на входе стоит?

Видимо на основании этих зрелых размышлений и было приянто решение, что безопасней убрать временно проблемную сигнатуру давно известного малораспространенного виря.

Добавлено спустя 4 минуты 40 секунд:

Кстати, вопрос.

Это общая практика?

Т.е. изъятие сигнатур происходит у всех вендоров?

Если да, то зачем и как часто?

Проактивная защита ведь действует только у домашних пользователей

С учетом наличия любопытной темы на форуме касперского, думаю, что она может быть часто выключена и у домашних пользователей.

как известно крупные автоконцерны даже партии машин с изъянами отзывают, так что я думаю если всплывает какая-либо проблема, то любой вендор сигнатуру уберет.

Тока не всем так везет как утопленникам, что VB в это время базы собирает

[Inkogn 0]

Модуль проактивной защиты «Лаборатории Касперского» способен эффективно блокировать активность значительного процента вредоносных программ, включая Net-Worm.Win32.Allaple.e

Знакомые слова.Какой модуль?Где птичка там?Какая настройка?

[SuperBrat 6]

Кстати, вопрос.

Это общая, нормальная практика?

Т.е. изъятие сигнатур происходит у всех вендоров?

Если да, то зачем и как часто?

Нормальная практика. Старые ненужные сигнатуры удаляют все вендоры. Но вот временное удаление перед важным тестом - это что-то новенькое. Не смотря на объяснения, что-то не укладывается в голове, зачем?

[Dmitry Perets 30]

Знакомые слова.Какой модуль?Где птичка там?Какая настройка?

Судя по скриншоту, это базовая настройка проактивки. Т.е. ловится и в базовом режиме. Модуль "Application activity analyzer". Если не ошибаюсь, галка "Dangerous behaviour".

[Dexter 20]

Кстати, вопрос.

Это общая, нормальная практика?

Т.е. изъятие сигнатур происходит у всех вендоров?

Если да, то зачем и как часто?

Нормальная практика. Старые ненужные сигнатуры удаляют все вендоры. Но вот временное удаление перед важным тестом - это что-то новенькое. Не смотря на объяснения, что-то не укладывается в голове, зачем?

Немного не то.

Я больше про это:

было бы логичнее сначала оптимизировать её, а потом сразу заменить старую версию на новую...

[Dmitry Perets 30]

много вы видели компаний, где защита тока на входе стоит?

Это происходит в компаниях, где нет центрального органа, ответственного за все рабочие станции. К примеру, представьте себе сеть общаги универа. На периметре стоит антивирус. Но студенты вылазят в инет со своих личных компов, софт на них устанавливается ими самими. Поэтому там может не быть антивируса вообще, или он может быть не обновлён, или он может не знать троянца...

Решение с GPO, автоматом ставящим антивирус студентам, не подходит. Это всё же их личные компы, а не компы предприятия. Не хотел бы я будучи студентом, чтобы универ на меня GPO скидывал.

А защищать компы студентов надо, поскольку они имеют доступ в сеть универа, что не есть гуд, если они заражены троянцем...

[Inkogn 0]

ловится и в базовом режиме. Модуль "Application activity analyzer". Если не ошибаюсь, галка "Dangerous behaviour".

Тогда да.Поскольку здесь можно по умолчанию "запретить" поставить,что исключает ошибочные действия пользователя,а так же отключение этой настройки админом на время,когда его нет.Так как настройку по умолчанию "запретить" всё,что не в белых списках,поставить в большей половине PDM невозможно,то до настоящего HIPSа ещё далеко.Он даже и не в теории ещё.В отношении используемости его как такой HIPS было время,когда он находился ближе к этому.

По скрину,в Систем32 создаётся файл.Через нормального пользователя (не админ) это не выходит.Работает этот червь только с админского аккоунта,или права системы перенимает в любом аккоунте?

[alexgr 556]

я прошу прощения,если задел

я имел в виду лишь ваши несколько пренебрежительные отзывы о существующих тестах

охренеть ... Клементи родил новый тест. Поскольку коллекция по-прежнему закрыта - воспроизводимость результатов - 0. Веселуха....

спасибо! Но еще раз повторюсь - тесты " на детект" дают только часть картины по функционалу тестируемого продукта. второе - опять же повторюсь - важно иметь возможность воспроизведения результатов. Иначе доверия к тесту мало. В данном случае говорю, что да, результат есть результат, однако есть вопросы к показательности полученных результатов. Комментарии вендоров - это дело уже второго свойства. "пересдача" Нод гораздо веселее

[Иван 290]

Кстати, вопрос.

Это общая, нормальная практика?

Т.е. изъятие сигнатур происходит у всех вендоров?

Если да, то зачем и как часто?

Нормальная практика. Старые ненужные сигнатуры удаляют все вендоры. Но вот временное удаление перед важным тестом - это что-то новенькое. Не смотря на объяснения, что-то не укладывается в голове, зачем?

есть подозрение, что думали не о тесте (тем более, что непонятно было какого там числа VB сигнатуры скачает, это как я понимаю выяснили потом при разбирательчтве)

ПРосто вы где-нибудь слышали в форумах или там еще где отчаянные крики: у нас стоял касперский, но 30го апреля случилось страшное, к нам в сеть пролез Net-Worm.Win32.Allaple.e и была страшная эпидемия. Я такого не слыхал.

Зато все слышали как Симантек сфолсил на китайской винде, после чего получилось миллион огрченных пользователей и судебные иски против Симантек.

Так что лучше на мой взгляд перебдеть, чем недобдеть и потом расхлебывать. А тест ладно, еще навыигрывают. Кто его не проигрывал кроме есета и ничего, никто не умер.

Добавлено спустя 1 минуту 10 секунд:

да кстати у меня вопрос, кто знает а базы у касперского универсальные для десктопных и шлюзовпочтовых продуктов

[SuperBrat 6]

Иван, а судебные иски против Symantec от кого были? В Китае разве был хоть один лицензионный пользователь? Насколько я слышал, в течении нескольких дней даже некому было официально рассказать о глюке в SAV. Там, вероятно, услышали об этом уже от журналистов.

[Иван 290]

ну вам сама сумма иска может показаться смешной, но сам факт все равно неприятен

Адвокат из южной китайской провинции Гуандон, пользователь Norton Antivirus Лю Шихуэй (Liu Shihui), подал иск против Symantec за вывод из строя операционной системы на его компьютере обновлением от 18 мая. Он потребовал от американской компании возместить нанесённый ущерб в размере 1644 юаней (около $200).

Как сообщает SCMagazine.com, это первый иск пострадавшего от ошибки Symantec; всего же, по разным данным, обновление Norton Antivirus в упрощённой китайской кодировке ошибочно уничтожило важные системные файлы Windows XP и вывело из строя системы на миллионах компьютеров.

После инцидента Symantec извинилась перед пользователями и не исключила возможности выплаты компенсации пострадавшим

http://www.cnews.ru/news/line/index.shtml?2007/06/05/253496

[SuperBrat 6]

Иван, какие доходы от Китая (около $200) - такое и отношение!

[Михаил Кондрашин 55]

3. Состав коллекции для тестирования - не известен. Количественно - примерно вычисляется.

Коллекция ITW доступна всем вендорам. Ее составляет не VB, а WildList.

[Dr.Golova 55]

UPD - вышел офицальный ответ.

[Dr.Golova 55]

> Он потребовал от американской компании возместить нанесённый ущерб в размере...

Неужели в лицензионном соглашении симантека нет пункта что софтина предоставляется "AS IS"? Это же уже норма, даже винду мы берем в аренду, так что претензий не можем выкатывать.

[STALK:ER 0]

И в курилке тоже, столько о VB сколько кричит Eset не кричит никто.

И не даром они так выцыганивали обратно апрельский тест.

Как Eset себе вытребывал награду в апрельском тесте VB100% это ведь надо видеть. Никаким перетестированием в течении месяца тут и не пахнет.

Я собственно опираюсь только на открытыую для всех фактологию:

http://www.virusbtn.com/news/vb_news/2007/04_01a.xml

http://www.virusbtn.com/news/vb_news/2007/04_18.xml

http://www.virusbtn.com/news/vb_news/2007/05_04.xml

1.второго апреля вышел тест VB100%, который Nod32 не прошел. Не прошел потому что эвристик нод32 сработал на абсолютно чистом файле с вердиктом 'probably unknown TSR.COM.EXE virus'

2.Eset не согласился с решением VB, заявив: в методологии тестирования VB100% написано, что если продукт реагирует на чистый файл с вердиктом "подозрительный" (suspicious), то это не считается ложным срабатыванием.

3.Virus Bulletin 18го апреля ответил на это обстоятельным подробным

разъясняющим прессрелизом http://www.virusbtn.com/news/vb_news/2007/04_18.xml В котором заявил, что настаивает на своём решении не давать награду Nod32.

Аргументы были такие: 'probably unknown TSR.COM.EXE virus' это слишком сильный вердикт, гораздо сильнее, чем просто "подозрительный". А кроме того вердикты аналогичные 'probably unknown TSR.COM.EXE virus' засчитывались и

засчитываются Nod32 и другим в том случае если эти вердикты появляются на зараженных файлах. А один и тот же вердикт не может быть одновременно быть засчитан как детектирование для зараженного файла и в тоже время не считаться ложным срабатыванием для чистого файла.

Чтобы уж совсем при этом не обижать Eset ребята из Virus Bulletin

высказались в том духе, что Nod32 очень хороший, всегда у нас побеждал, и мы типа надеемся что этот единичный досадный прокол в биографии и что дальше все будет хорошо.'

Nod32 has an outstanding record in the VB100', said John Hawes, Technical Consultant at Virus Bulletin, in charge of VB100 testing. 'The product has proven successful in more tests than any other, and has never missed an In-The-Wild virus since our tests began in 1998. It also consistently shines in our speed testing, and in my experience is one of the most flexible and useable products on the market. I'm sure this will be a minor blip in their VB100 record, and that ESET will continue to produce excellent results in future tests.'

4. А вот дальше видимо Eset предпринял что-то, что все вдруг резко

изменило. Virus Bulletin пятого мая выпустил очень короткую новостную заметку http://www.virusbtn.com/news/vb_news/2007/05_04.xml , в которой на

этот раз без своих обычных подробных разъяснений заявил: "После тщательного рассмотрения мы пришли к выводу, что файл на котором произошло ложное срабатывание Nod32 был неправильно занесен нами в список чистых файлов. А поскольку этот файл был вовсе не чистый, то Nod32 правильно сделал, что на него отреагировал и мы поэтому возвращаем ему награду VB100% и считаем, что он тест прошел.

In Virus Bulletin's April 2007 Linux comparative review (see VB, April

2007, p.11), VB reported that ESET's product NOD32 had generated a false positive during scanning of the older part of the clean test set. After

further investigation and careful consideration, VB now deems that the file

alerted on was inappropriate for inclusion in the clean test set. The file

will be removed from the clean test set with immediate effect. A VB100 is

therefore awarded to NOD32. No other products were affected.

Конечно можно считать, что все тут нормально. Но у меня остались вопросы:

1. ПОчему VB, один раз аргументировано отказавшись засчитывать Eset результаты теста, вдруг изменил своё решения причем как-то не очень то подробно осветив причины своего решения?

2.ПОчему Eset сразу не указал VB на то, что их срабатывание вовсе не

ложное, а файл на котором оно произошло вовсе и не чистый? А вместо этого утверждали, что их вердикт похож на suspicious и поэтому его нельзя рассматривать как ложное срабатывние. Было так сложно понять за две недели, что файл реально заражен, понадобилось больше времени?

3. VB утверждает, что файл на котором сфолсил Nod32 на самом деле вовсе и не чистый, а значит Eset все правильно отреагировал.

Хорошо...но если файл не чистый, то какой? Зараженный? Тогда почему интересно только Nod32 на него отреагировал? Прям вот так вышло, что Nod32 заразу нашел, а прямо вот все поголовно остальны проворонили? А если файл не зараженный, а одновременно и чистым его назвать нельзя...какой же он тогда?

Можно было бы считать, что ничего подозрительного в этом во всем нет, если бы не одно но:

NOD32 не провалил ни одного теста VB100%. ПРичем не проваливал он их не только в 2006 году, когда уровень детекта у них был реально высокий, но и в 2004м, когда согласно клименти Nod32 детектил чуть меньше 88% зловредов

и в 2007, когда согласно Марксу их детект снова скатился на ту же отметку.

Как бы не обнаруживал NOD32 вирусы, он все равно получит VB100% - закон Eset

Я вспоминаю например времена. когда NOD32 только пришёл на российский рынок и не был локализован. Так вот в это время на сайте VB100 красовалась запись, что компания Eset является главным спонсором VB100. (как Вам это - СПОНСОР независимой лаборатории проверки антивирусов).

Сейчас этой страницы нет, видно убрали...

Ответ прост, Eset сказала денег не будет или отдавайте нам приз... вот и всё... VB100 извинилось и отдала приз Eset...

А так же это объясняет почему Eset громче всех рекламировало VB100, денег то нужно вложенные отбить...

P.S. Вот уроды... :evil: (простите меня модеры)

[aibolit66 0]

С Касперским всё понятно, его провал - чистая случайность. Но вот как серьезно сел в лужу Доктор Веб? Зевнуть сразу несколько сэмплов ITW... Видимо дела вообще совсем плохи.

[Dexter 20]

aibolit66,

Вам сюда .

[Иван 290]

aibolit66,

Вам сюда .

+1

[OlegSych 40]

Так вот в это время на сайте VB100 красовалась запись, что компания Eset является главным спонсором VB100. (как Вам это - СПОНСОР независимой лаборатории проверки антивирусов).

Тут Вы наверняка недочитали или поняли некорректно. Речь шла о спонсорстве КОНФЕРЕНЦИИ VB100, которая устраивается каждый год. И каждый год VB100 приглашает антивирусные помпании стать спонсорами конференции. Причём спонсор всегда не один.

А сам по себе журнал и тест работает, по крайней мере официально, без спонсоров. А зачем, если все победители VB100 обязаны отстёгивать денежку за использования лого VB100 на своих коробках, полиграфии, в рекламе.