Перейти к содержанию

Провал VB!


Рекомендуемые сообщения

Добрый день.

Хочу от Вас получить разъяснения по следующему вопросу.

Известно, что КАВ провалил тест VB на платформе XP. Причём провалил загадочно, из за W32/Allaple который уже был добавлен в базу http://www.kaspersky.ru/viruswatchlite?sea...;hour_offset=-1 , но во время теста детект загадочно исчез.): Потом загадочно детект этого вируса опять появился.

Комментарий по этому поводу VB:- “Наше исследование показало, что этот вирус детектировался Касперским за несколько дней до проведения теста и через несколько дней после его проведения. Видимо сигнатура этого зловреда временно удалялась из баз для какого-то исправления. К сожалению, этого времени было достаточно для того, чтобы Касперский не прошел тест"

 

Собственно по этому поводу у меня к Вам два вопроса:

1.Как такое могло произойти, что детект вируса из баз исчезает? А вдруг это не единичный случай? И может быть, что сейчас в базах не детектеться некоторые добавленные вирусы?

2.Прошу дать комментарий по провалу теста. Не отношения к VB, которое мне известно. А именно комментарий по провалу. Как такое произошло с Кав и какие выводы будут сделаны, чтоб впредь так по “детски” не провалиться?

Ссылка на комментарий
Поделиться на другие сайты

Причина неполучения VB100% - мы пропустили одного троянца из тестового набора VB. Причина пропуска - технический сбой. По пока неясным причинам запись, которая детектит этого трояна была удалена из антивирусных баз (вернее - удалено было сразу несколько записей, но на VB100% сказалась только одна). Получилось так, что мы не детектили этого трояна всего один (или пару) дней - но именно в этот день и проходили тесты VB. Причина сбоя выясняется. В планы по дальнейшей разработке робота тестирования апдейтов добавлена доработка аудитов апдейтов.

 

Совсем неформально: тесты VB100% ни на что не влияют. Т.е. вообще ни на что. И показателем качества антивирусных продуктов не являются никак. И нужны эти значки VB100% только мелким компаниям, чтобы оправдать факт их существования.

 

Совсем неформально-2: мы прём по полной программе. Везде - и в России, и в Европе, и в Азии, и в Америке - везде. И продукты хорошие, и каналы, и маркетинг - так должно же быть у нас хоть что-то не так! Вот оно и есть - провал VB100%

Ссылка на комментарий
Поделиться на другие сайты

В планы по дальнейшей разработке робота тестирования апдейтов добавлена доработка аудитов апдейтов.

Вот это и хотелось услышать.

мы прём по полной программе. Везде - и в России, и в Европе, и в Азии, и в Америке - везде. И продукты хорошие, и каналы, и маркетинг - так должно же быть у нас хоть что-то не так! Вот оно и есть - провал VB100%

Оригинально. :)

Ссылка на комментарий
Поделиться на другие сайты

Система аудита апдейтов безусловно предотвратит возможные технические сбои. Но в данном случае речь по результатам разбирательства выяснилось, что речь идет не о внезапном сбое.

Официальный ответ ЛК следующий:

 

Почему Антивирус Касперского 6.0 не прошел июньский тест Virus Bulletin

 

Как стало известно некоторое время назад, Антивирус Касперского 6.0 впервые с 2003 года не прошел тест британского журнала Virus Bulletin. По сообщению журнала, это произошло из-за того, что во время тестирования не был обнаружен один экземпляр из вредоносной коллекции журнала - Net-Worm.Win32.Allaple.e.

 

Как пишет специалист Virus Bulletin Джон Хоуз, «сигнатура этого червя была в антивирусных базах «Лаборатории Касперского» как за несколько дней до нашего тестирования, так и через несколько дней после него, и, предположительно, была временно убрана из баз для исправления. Этого неудачно выбранного времени оказалось достаточно, чтобы испортить долгую серию наград VB100, полученных «Лабораторией Касперского»».

 

Что же произошло в действительности?

 

Сигнатура червя Net-Worm.Win32.Allaple.e была включена в антивирусные базы «Лаборатории Касперского» еще 1 февраля 2007 года, сразу после появления данной вредоносной программы в «живой природе», - то есть задолго до теста Virus Bulletin.

 

Однако в рамках активной работы антивирусных экспертов, направленной на снижение количества ложных срабатываний и оптимизацию работы антивирусных продуктов, сигнатура Net-Worm.Win32.Allaple.e была на короткое время изъята из баз для дополнительного тестирования. Важно отметить, что временное отсутствие этой сигнатуры не представляло угрозы для пользователей – данный экземпляр червя со стопроцентной вероятностью обнаруживается модулем проактивной защиты, реализованным в шестом поколении продуктов «Лаборатории Касперского».

 

Но по стечению обстоятельств именно в этот момент, 30 апреля 2007 года, Virus Bulletin собирал свежие антивирусные базы для всех тестируемых продуктов. Так как в тесте Virus Bulletin использовался только сигнатурный метод детектирования вредоносных программ, червь Net-Worm.Win32.Allaple.e не был обнаружен при тестировании, что и стало причиной неполучения награды VB100.

 

Проактивная защита

 

Модуль проактивной защиты «Лаборатории Касперского» способен эффективно блокировать активность значительного процента вредоносных программ, включая Net-Worm.Win32.Allaple.e, даже если сигнатура программы отсутствует в антивирусных базах. На экран выводится уведомление, где указывается приложение, тип его активности, история выполненных действий. После того, как выполнение вредоносной программы на компьютере будут завершено, пользователь может отменить все действия, выполненные вредоносным процессом  на компьютере пользователя.

post-2107-1181392974_thumb.jpg

 

Данный скриншот демонстрирует реакцию Антвируса Касперского 6.0 при попытке запуска червя Net-Worm.Win32.Allaple.e.

 

Заключение

 

Конечно, мы очень разочарованы тем, что многолетняя серия неизменно успешных тестов Virus Bulletin, длившаяся с августа 2003 по май 2007 года, прервалась из-за неудачного стечения обстоятельств.

 

Однако мы с удовлетворением отмечаем, что безопасность защиты наших пользователей не была поставлена под угрозу даже в тот короткий период, когда сигнатура Net-Worm.Win32.Allaple.e была удалена из антивирусных баз – потому что проактивная защита, интегрированная в наши продукты, гарантированно блокирует эту вредоносную программу.

Изменено пользователем gudilin
Ссылка на комментарий
Поделиться на другие сайты

Официальный ответ ЛК следующий

 

Отмазка тянет на пять балов.

Ещё и проактивку приплели. А она как тут вяжется с данным тестом?

Странно, что ещё эвристик семёрки не вспомнили.

 

P.s. Чем больше отмазок, тем больше себя ставишь в глупое положения

Ссылка на комментарий
Поделиться на другие сайты

Отмазка тянет на пять балов.

Ещё и проактивку приплели. А она как тут вяжется с данным тестом?

Странно, что ещё эвристик семёрки не вспомнили.

 

P.s. Чем больше отмазок, тем больше себя ставишь в глупое положения

Это к тому, что результат теста не повлиял на безопасность пользователей.

 

Тест провален. Это грустно.

Ссылка на комментарий
Поделиться на другие сайты

Отмазка тянет на пять балов.

Ещё и проактивку приплели. А она как тут вяжется с данным тестом?

Странно, что ещё эвристик семёрки не вспомнили.

 

P.s. Чем больше отмазок, тем больше себя ставишь в глупое положения

 

гм, а причем тут эвристик семерки, когда в тесте участвовала шестерка?

и почему приплели, если проактивка срабатывает?

и почему вы считаете, что сигнатуру действительно не могли убрать по причине тех же фолсов?

Я думаю, что тот кто воспринимает это как отмазку, тот и так невысокого мнения об ЛК и продуктах ее. А тот кто ждал подробного объяснения причин - смог их получить, несмотря на возможно излишнюю высокопарность выражений свойственную всем пресcрелизам ЛК.

 

что же касается самой проблемы, то я вообще честно говоря я не очень просекаю почему столько суеты из-за того, что один день сигнатурами не брался ОДИН какой-то заштатный вирь. Нет я понимаю, что хорошего в этом ничего нет, но трагедия -то в чем? У кого-то были серьезные проблемы с эпидемией этого виря?

Если взглянуть на тесты клименти и маркса, то видно что все антивирусы без исключения могут при неудачном стечении обстоятельств пропустить тысячи вирусов. А тут такое расстройство из-за одного виря, вот что значит раскрученность теста:)

Ссылка на комментарий
Поделиться на другие сайты

Ребят, конечно свинью с VB100% вы НАМ подложили конкретную. Но нельзя всё время быть на высоте, иногда стоит спуститься на землю и проанализировать ошибки. И ещё, все помняю кажеться апрельский провал NOD32 от Eset, но потом результаты пересчитали и он опять "Pass". Так вот, в нашем, а точнее в случае с ЛК может произойти подобный перерасчёт?

Ссылка на комментарий
Поделиться на другие сайты

Ладно, копнём по глубже.

 

гм, а причем тут эвристик семерки, когда в тесте участвовала шестерка?

 

А по тому, что на форуме бета тестинга, тестеры (Замете не простые, а уважаемые голды, что уж говорить, а простых пользователях) привязывали провал теста, с отсутствием эвристика.

 

и почему приплели, если проактивка срабатывает?

 

А потому что тест сигнатурный. Мало ли что у кого-то срабатывает. Может у других провалившихся, эвристика при правильной настройке срабатывает, у остальных веб антивирус, и тд..

 

и почему вы считаете, что сигнатуру действительно не могли убрать по причине тех же фолсов?

 

Почему, я считаю что могли. Не только могли, а и убрали.

 

Я думаю, что тот кто воспринимает это как отмазку, тот и так невысокого мнения об ЛК и продуктах ее.

 

Вот меня везде, такие высказывания веселят. Почему так, когда кто-то за царя он друг, чуть приведи конструктивную критику, всё враг, оппозиция. А может я радею за ЛК побольше вашего.

 

А тот кто ждал подробного объяснения причин - смог их получить

 

Официальный ответ это для домохозяек, а не для меня. Когда я уже пять лет связан с продуктами ЛК, знаю все нюансы и тонкости данного продукта.

И что такое официальный ответ? Что получается? По этой логике выходит что VB неправильно провела тест по КАВу. Оказывается, этот зловред ловиться проактивкой, и надо было VB100 КАВу присудить. Так надо было предупредить VB, что КАВу более сигнатуры не нужны, и он, этот зловред вообще не будет добавлять в базу, по той причине, что он ловиться проактивкой.

 

 

что же касается самой проблемы, то я вообще честно говоря я не очень просекаю почему столько суеты из-за того, что один день сигнатурами не брался ОДИН какой-то заштатный вирь. Нет я понимаю, что хорошего в этом ничего нет, но трагедия -то в чем? У кого-то были серьезные проблемы с эпидемией этого виря?

Если взглянуть на тесты клименти и маркса, то видно что все антивирусы без исключения могут при неудачном стечении обстоятельств пропустить тысячи вирусов. А тут такое расстройство из-за одного виря, вот что значит раскрученность теста:)

 

Зато я просекаю.

Почему тогда ЛК не объявила официально, мол, в такое то время, из-за фолса, не будет детектится один вирь? А? Подумаешь один вирь.

 

Не было проблем. А кто знает, были проблемы или нет? Да даже если по этому поводу и были проблемы, неужели таже домохозяйка, которая посещает сайты, разведёнок или вдовушек, побежит на сайты по безопасности жаловаться. Или может ЛК предоставит такие данные?

 

И один ли? Тест VB проводиться на коллекции чуть более ТРЁХ тысяч экземпляров.

Так вот моя логика такова. Если на трёх тысячах не детектился один экземпляр, то высчитайте, включая теорию вероятности, сколько зловредов не будет детектиться на коллекции из пятисот тысяч? Причём, включая туже теорию вероятности можно предположить, что это не единичный случай в году, когда ЛК удаляет из базы вири, для исправления.

 

Так вот я и хотел спросить Е.К.

- Может и сейчас для исправления, из баз убрана добрая сотня добавленных вирей?

-Ведь может такое быть. А…

Ссылка на комментарий
Поделиться на другие сайты

Провал АВ пришёл мне на мыло в новостях от секьюрити лаб http://www.securitylab.ru/news/297361.php

Аналитики халатно отнеслись к детектам :)

Изменено пользователем Vsoft
Ссылка на комментарий
Поделиться на другие сайты

сигнатура Net-Worm.Win32.Allaple.e была на короткое время изъята из баз для дополнительного тестирования

Ну, а потестировать, не изымая, в голову не пришло? :)

 

Однако мы с удовлетворением отмечаем

Вот и славно. Главное, удовлетворение получили. :) Я с неисчерпаемым удовлетворением отмечаю этот факт.

В заключение краткого отчетного доклада скажу, что VB100% — фтопку. Не авторитет.

«Мы можем сами такие тесты проводить. ЛК100%. И без материальной помощи (мзды) втихаря со стороны антивирусных и иных микрософтовских магнатов», — подумалось вдруг мне пронзительной мыслью...

Ссылка на комментарий
Поделиться на другие сайты

А по тому, что на форуме бета тестинга, тестеры (Замете не простые, а уважаемые голды, что уж говорить, а простых пользователях) привязывали провал теста, с отсутствием эвристика.

Ну да был бы в шестерке эвристик, взяли бы им. НО его не было, так что обсуждать то и нечего. Мы ведь говорим про конкретный тест конкретного продукта.

 

А потому что тест сигнатурный. Мало ли что у кого-то срабатывает. Может у других провалившихся, эвристика при правильной настройке срабатывает, у остальных веб антивирус, и тд..

речь ведь шла н

Официальный ответ это для домохозяек, а не для меня. Когда я уже пять лет связан с продуктами ЛК, знаю все нюансы и тонкости данного продукта.

И что такое официальный ответ? Что получается? По этой логике выходит что VB неправильно провела тест по КАВу. Оказывается, этот зловред ловиться проактивкой, и надо было VB100 КАВу присудить. Так надо было предупредить VB, что КАВу более сигнатуры не нужны, и он, этот зловред вообще не будет добавлять в базу, по той причине, что он ловиться проактивкой.

я плохо читаю между строк. и в постинге ЛК ничего такого не написано, написано лишь только то, что зловред брался проактивкой и признается, что не брался сигнатурно. Нигде про неправильность теста не сказано, сказано лишь, что у пользователей на компах проактивка сработала.

 

Не было проблем. А кто знает, были проблемы или нет? Да даже если по этому поводу и были проблемы, неужели таже домохозяйка, которая посещает сайты, разведёнок или вдовушек, побежит на сайты по безопасности жаловаться. Или может ЛК предоставит такие данные?

Если бы проблемы были, в форумах это тут же бы проскочило, чего тут спорить.

 

 

 

И один ли? Тест VB проводиться на коллекции чуть более ТРЁХ тысяч экземпляров.

Так вот моя логика такова. Если на трёх тысячах не детектился один экземпляр, то высчитайте, включая теорию вероятности, сколько зловредов не будет детектиться на коллекции из пятисот тысяч? Причём, включая туже теорию вероятности можно предположить, что это не единичный случай в году, когда ЛК удаляет из базы вири, для исправления.

 

Так вот я и хотел спросить Е.К.

- Может и сейчас для исправления, из баз убрана добрая сотня добавленных вирей?

-Ведь может такое быть. А…

предпологать можно всякое. Факт с Allaple не из приятных тут опять же спорить не о чем. Но чем могут закончится лишние фолсы тоже всем известно. Так что если было принято решение убрать сигнатуру - значит был резон.

Я же как и вы (как я понимаю) надеюсь и ратую за то, чтобы в дальнейшем было предприянто все, чтобы проколы минимизировать. ПРоколы не только с тестами, которые важны только для пиара, но и проколы в реальной работе

Ссылка на комментарий
Поделиться на другие сайты

Ну да был бы в шестерке эвристик, взяли бы им. НО его не было, так что обсуждать то и нечего. Мы ведь говорим про конкретный тест конкретного продукта.

речь ведь шла н

я плохо читаю между строк. и в постинге ЛК ничего такого не написано, написано лишь только то, что зловред брался проактивкой и признается, что не брался сигнатурно. Нигде про неправильность теста не сказано, сказано лишь, что у пользователей на компах проактивка сработала.

Если бы проблемы были, в форумах это тут же бы проскочило, чего тут спорить.

предпологать можно всякое. Факт с Allaple не из приятных тут опять же спорить не о чем. Но чем могут закончится лишние фолсы тоже всем известно. Так что если было принято решение убрать сигнатуру - значит был резон.

Я же как и вы (как я понимаю) надеюсь и ратую за то, чтобы в дальнейшем было предприянто все, чтобы проколы минимизировать. ПРоколы не только с тестами, которые важны только для пиара, но и проколы в реальной работе

 

Прочитал, подумал, и так пять раз. Смысл не понял, но поскольку, есть лишнее время, решил ответить. Итак, попытка номер два.

*********************************************************************

Писал ответ долго, потом почитал, ещё раз почитал, хмыкнул, поковырялся в носу…..

 

Я же как и вы (как я понимаю)

 

И я решил, да я тоже, как и вы.

 

Но тоже надеюсь:

 

надеюсь и ратую за то, чтобы в дальнейшем было предприянто все, чтобы проколы минимизировать. ПРоколы не только с тестами, которые важны только для пиара, но и проколы в реальной работе

 

ЛК удачи и успехов, в будущем и настоящем!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...