# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Тестировщики «прокатили» «Касперского»

## SDA

Результаты октябрьского тестирования антивирусных решений VirusBulletin вызвали небольшой скандал: антивирус «Касперского» не удостоился награды VB100, в то время как другие продукты ее сумели получить при худших результатах тестирования . Производители антивирусов говорят, что методика исследования VirusBulletin устарела, и отказ вендоров от участия в VB100 может приобрести массовый характер.
.....В результате последнего исследования VB100 как раз из-за одного «фолса» награду не получил продукты «Лаборатории Касперского» и Avira. Напротив, Agnitum, не обнаруживший 1242 трояна, Eset Nod32 — пропустивший 538 троянов, а также Sophos с 625-ю пропущенными троянами, но не набравшие «фолсов», были отмечены медалями.....
 дальше http://www.cnews.ru/news/top/index.s...8/10/02/321145

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

Жаль для ЛК, конечно. Все (кроме самых тупых) понимают, что это просто цирк, но всё же - неприятный привкус остаётся во рту. 
Одно ложное срабатывание хуже, чем пропуск не знаю сколько сотен троянов?! Где логика, господа?

Paul

----------


## ALEX(XX)

> Где логика, господа?


 Ушла ещё вчера, в синих ластах и очках

----------


## Ego1st

я непойму почему, ЛК не выйдет из этого теста давно пора, пусть они там один НОД тестирует и хватит с них=)

----------


## priv8v

по тому КАК они тестируют - мне правда уже давно терзают "смутные сомнения"

----------


## maXmo

> Одно ложное срабатывание хуже, чем пропуск не знаю сколько сотен троянов?! Где логика, господа?


убытки при _отсутствии_ атаки. Троян ещё должен проникнуть, а вот фолс срабатывает железно и повсеместно.

----------


## XP user

> убытки при _отсутствии_ атаки. Троян ещё должен проникнуть, а вот фолс срабатывает железно и повсеместно.


Так спокойно БЕЗ программ защиты; даже не представляете...  :Roll Eyes (Sarcastic): 

Paul

----------


## DVi

> убытки при _отсутствии_ атаки. Троян ещё должен проникнуть, а вот фолс срабатывает железно и повсеместно.


Неплохо было бы сравнить распространенность "одного из редакторов Perl" и "538 троянов".

----------


## maXmo

ВБ просто отразил реальное положение дел: ошибки второго рода гораздо грубее ошибок первого рода, а как их разменивать, 1:100 или 1:1000 – вопрос достаточно сложный и дело тут не только в распространённости чего бы то ни было.

----------


## Ivaemon

> Жаль для ЛК, конечно. Все (кроме самых тупых) понимают, что это просто цирк, но всё же - неприятный привкус остаётся во рту. 
> Одно ложное срабатывание хуже, чем пропуск не знаю сколько сотен троянов?! Где логика, господа?
> 
> Paul


Присоединяюсь. Особенно нонсенс в отношении Авиры, которая пропустила троянов *на порядок* меньше, чем некоторые "дипломанты" VB :Angry:

----------


## santy

"одной из отрицательных сторон методологии VB100 остается исключение из получающих награду решения, допустившего лишь одно ложное срабатывание на файл любого вида." Участникам (АВ компаниям) ведь известны условия тестирования. Как говорится, в "чужой монастырь" ходят со своим детектом, а не своим уставом".  Другое дело, что они_условия отбора не вполне известны пользователям. Скажем, не выполнить ни одного ложного детекта, и не пропустить ни одного "дикого" вируса - это разные достижения. Но что-то в этом есть. Должно стимулировать АВ компании к точным механизмам детектирования, к тщательному выпуску сигнатур и эвристик...

----------


## XP user

> Участникам (АВ компаниям) ведь известны условия тестирования. Как говорится, в "чужой монастырь" ходят со своим детектом, а не своим уставом".


Из компании Др. Веба это вовремя осознали, и ушли... Я уважаю их за это. Фолсы НЕЛЬЗЯ исключать полностью - иначе нормального детекта не может быть. 'Победители' данного теста это убедительно доказали...

Paul

----------


## santy

В чем согласен, Paul, что "не допустить ни одного фолса" - это еще не достижение.

----------


## Белый Сокол

> Из компании Др. Веба это вовремя осознали, и ушли... Я уважаю их за это. Фолсы НЕЛЬЗЯ исключать полностью - иначе нормального детекта не может быть. 'Победители' данного теста это убедительно доказали...
> Paul


Вот именно, лучшие продукты антивирусной индустрии за бортом, а середнячки (в лучшем случае) празднуют победу - это нормально для тестов от VB. Видимо, все 538 троянов попадают в так называемую амортизационную зону, которая по сути является допустимым ущербом, просто несравнимым с одним ложным срабатываем, которое _безоговорочно_ не только угробит вашу систему _без возможности восстановления_, но и "железо" расплавится, из ЖК монитора польется жидкость и посыпятся кристаллы (если CRT, то просто тихо взорвется), блок питания заискрит и начнется пожар  Скорее всего этими выводами и руководствовались спецы из VB, когда ставили тесты. А 538 троянов - это ничего, это мелочи, подумаешь, пароли от Интернет-кошелька украли, так ведь деньги - зло!  :Cheesy: 

P.S. Жалко ребят из ЛК, пора бы и им последовать примеру компании Др. Веб, а то некоторые тестирования стали походить на нашу современную эстраду - "кто бездарней всех поет, тот и пусть идет вперед". :Angry:

----------


## priv8v

выходит, что Антивирус Калинина у них бы не провалил тест?)))

----------


## XP user

> выходит, что Антивирус Калинина у них бы не провалил тест?)))


Ну да... Фолсов, скорее всего, не будет, а Троянов он ещё меньше находит, чем нынешние победители, так что - первое место досталось бы как раз ему...  :Roll Eyes (Sarcastic): 

Paul

----------


## Белый Сокол

> так что - первое место досталось бы как раз ему...


Не, первое место по-любому за блокнотом, там и фолсов не будет, правда и детекта тоже  :Smiley:

----------


## Hanson

ну НОД ""молодец"", какая там у него уже медаль VB?? 
так и представляю его весь такой увешанный наградами(как собаки на выставках).
вот только мне периодически за него приходиться компы от вирусов чистить,
ну так этож нелавное, главное МЕДАЛИ

----------


## ALEX(XX)

> ну НОД ""молодец"", какая там у него уже медаль VB?? 
> так и представляю его весь такой увешанный наградами(как собаки на выставках).
> вот только мне периодически за него приходиться компы от вирусов чистить,
> ну так этож нелавное, главное МЕДАЛИ


Давайте не будем, а? Если я сейчас начну вспоминать после каких АВ я компы от вирусов чистил, то окажется, что все АВ надо выкинуть далеко-далеко

----------


## santy

> ну НОД ""молодец"", какая там у него уже медаль VB?? 
> так и представляю его весь такой увешанный наградами(как собаки на выставках).
> вот только мне периодически за него приходиться компы от вирусов чистить,
> ну так это ж не главное, главное МЕДАЛИ


Не переживайте, Hanson. И с абсолютными чемпионами осечки случаются.

----------


## Hanson

> Давайте не будем, а? Если я сейчас начну вспоминать после каких АВ я компы от вирусов чистил, то окажется, что все АВ надо выкинуть далеко-далеко


можно наверно не вспоминать,
предположу что после всех :Cheesy: ,

а несобирался говорить кто есть хорошо, а кто есть плохо
просто пропустив уйму заразы, они получили очередную медаль, 
а если посмотреть на их сайт то можно увидеть следущее



> *ESET NOD32: 50 наград «VB100» за 10 лет в тестированиях журнала Virus Bulletin*
> Тестирование проходило на платформе Ubuntu Linux 8.04LTS server edition
> 11.06.2008
> 
> Антивирус ESET NOD32 версии 3.0 обнаружил 100% вирусов в тестировании on-access и on-demand, причем 100%-й результат детектирования показан на всех типах вредоносного ПО — обнаружены все вирусы, черви, полиморфные вирусы и вредоносное ПО для Linux платформ.
> Кроме того, ESET NOD32 не допустил ни одного ложного срабатывания.
> 
> *49-я награда от Virus Bulletin*
> Тестирование на платформе Windows Vista Business Edition Service Pack 1
> ...


правда это предыдуший VB, но почемуто мне кажется результаты несильно отличаются,
а вот это про посдедний



> 51 награда Virus Bulletin
> Платформа-Windows XP Service Pack
> 12.08.2008


и так между делом, тобишь Пы.Сы
неделю назад отправил копию зловреда Ноду, Вебу, Авире и камуто еще, непомню щас,
Авира и Веб добавили ее в течение полу дня, 
наш медалист досихпор недетектит ее
(по результатам VT)
видимо некогда было, готовились к VB

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Rene-gad

Тестирование на VB было всегда, как бы это помягче выразить, несколько своеобразным. Я это заметил еще лет 6 назад, когда купил ПК. Там был Norman Antivirus, который единственный на VB получил 100, в других тестах и по жизни прога выглядела и выглядит по меньшей неубедительной: много ложняков, слабый , не смотря на впервые там примененную SandBox - технологию, апдейты баз даже не каждый день и т.д.
Я потестил Нормана 3 бесплатных месяца, после чего снес, о чем не жалею.

----------


## santy

А детальные результаты тестирования VB (а не только pass or fail) доступны после регистрации или только после платной подписки (что есть ненормально)?

----------


## XP user

> А детальные результаты тестирования VB (а не только pass or fail) доступны после регистрации или только после платной подписки (что есть ненормально)?


По моему только после платной подписки.



> Complete details of the most recent test results are available to Virus Bulletin subscribers.


Когда щёлкаю на эту ссылку, я попадаю на страницу, где указаны тарифы. Я - так называемый 'single user', и мне это будет стоить 'всего' *$175.00* за 12 месяцев... 

Paul

----------


## Hanson

a.... э......ну... :Shocked: 
(потерял дар речи)

----------


## Rene-gad

> и мне это будет стоить 'всего' *$175.00* за 12 месяцев...


Да я за такие деньги мотылька в поле загоняю....  :Cheesy:

----------


## gdn

> и так между делом, тобишь Пы.Сы
> неделю назад отправил копию зловреда Ноду, Вебу, Авире и камуто еще, непомню щас,
> Авира и Веб добавили ее в течение полу дня, 
> наш медалист досихпор недетектит ее
> (по результатам VT)
> видимо некогда было, готовились к VB


И по моим наблюдениям Nod не очень справляется с троянами, во всяком случае распространяющимися в русскояз. среде (icq, почта с русским текстом), добавление сигнатур по почте происходит очень долго (иногда де нескольких недель) или не происходит вообще, базы так же обновляются не очень - например обновление в выходные достаточно редко проиходят. Часто приходиться лечить копьютер с троянами где установлен этот антивирус, причем как с очень старыми базами, так и с новыми - примечательно, что пользователи при этом очень попадаются на маркетинговые действия нода и часто можно услышать что - то типа "как же так, Nod же стоит, а он неизвестные вирусы ловит лучше всех", причем даже без обновления...
Не могу сказать, что Nod плохой антивирус, просто его надо обновлять, использовать расширенную эвристику и учитывать, что с троянами у него "туго", особенно с разновидностями pinch.

----------


## priv8v

хочется от себя отметить, что НОД32 вообще с русскими зловредами дружит не очень

----------


## borka

У меня почему-то ощущение, что говорить о "русских" зловредах как-то не совсем правильно. При условии, что сами зловреды живут на китайских сайтах, а впингвиниваются со взломанных сайтов по всему миру.  :Smiley:

----------


## priv8v

под словом "русский" я имел в виду то, что зловред был накоден жителем СНГ с заточкой на русский трафф (отсутствие интереса к банкам и т.д)

----------


## borka

> под словом "русский" я имел в виду то, что зловред был накоден жителем СНГ с заточкой на русский трафф (отсутствие интереса к банкам и т.д)


ИМХО, неважно, кем написан вирус или троян. И неважно, где он лежит. И неважно, где находится взломанный сайт, с которого идет редирект на загрузку самогО зловреда. ИМХО, все зависит от того, кому как "повезет" на что нарваться.  :Wink: 
Глобализация, однако...

----------


## santy

> По моему только после платной подписки...
> Paul


Надо полагать, что авторы статьи являются подписчиками VB, иначе откуда эти цифры о  необнаруженных троянах... (интересно, имеют они право публиковать полные результаты теста для читателей, которые не являются подписчиками, Если, да, то почему все -таки нет этих результатов, за исключением нескольких цифр, и жетонов pass, fail).
---
"В результате последнего исследования VB100 как раз из-за одного «фолса» награду не получил продукты «Лаборатории Касперского» и Avira. Напротив, Agnitum, не обнаруживший 1242 трояна, Eset Nod32 — пропустивший 538 троянов, а также Sophos с 625-ю пропущенными троянами, но не набравшие «фолсов», были отмечены медалями."

----------


## priv8v

> ИМХО, неважно, кем написан вирус или троян. И неважно, где он лежит. И неважно, где находится взломанный сайт, с которого идет редирект на загрузку самогО зловреда. ИМХО, все зависит от того, кому как "повезет" на что нарваться. 
> Глобализация, однако...


т.е вы хотите сказать, что от качества и оперативности работы аналитиков из вирлаба и их пауков мало что зависит?..

Имхо, важно где он лежит, если выложить троя на h4cky0u.org и на каком-то русскоязычном хак-форуме, то по-моему нод его быстрее начнет детектить если выложить на первом. 




> И неважно, где находится взломанный сайт, с которого идет редирект на загрузку самогО зловреда.


вы имеете в виду на каком хостинге?.. вероятно АВ-компаниям не особо интересно где находится взломанный сайт. согласен. 

+
имхо, русский нод32 работает тормознуто - общение с русскоязычными юзерами крайне медленно, добавление того, что мы им присылаем также медленно и т.д.

все это я перечисляю для того, что бы хотя бы немного доказать, что нод32 не особо заточен под рунет.

----------


## Hanson

может быть лично я им ненравлюсь,
но сколько я им неслал образцов, и даже приписывал просьбу ответить,
неразу ответа так и непришло. обидно както даже (((

----------


## borka

> т.е вы хотите сказать, что от качества и оперативности работы аналитиков из вирлаба и их пауков мало что зависит?..


Как бы ни старались вирлабы, но зазор между появлением свежей гадости и реакцией на нее всегда ненеулевой. 




> Имхо, важно где он лежит, если выложить троя на h4cky0u.org и на каком-то русскоязычном хак-форуме, то по-моему нод его быстрее начнет детектить если выложить на первом.


Думается, для вирлаба любого вендора важен механизм а) сбора заразы, б) обработки заразы и в) обратной связи с пользователем по предотвращению угрозы. Поэтому, ИМХО, как повезет - вдруг кто-то уже нарвался, а соответствующий вирлаб отреагировал...




> все это я перечисляю для того, что бы хотя бы немного доказать, что нод32 не особо заточен под рунет.


С НОДом я знаком мало, поэтому ничего конкретного сказать не могу. Но мне кажется, что говорить о вирусах, специфичных для какого-то сегмента всемирной паутины, несколько неправильно.

----------

