Author Topic: Что делать с ложными срабатываниями?  (Read 19514 times)

0 Members and 1 Guest are viewing this topic.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Hi

Аваст, вин-хр/32, бесплатный, нерегистрированный, четвертый день как установлен

Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.

Кто тут врёт? Если врёт аваст, как его вразумить?

Многовато ложных тревог, раздражают уже.

Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
« Last Edit: September 09, 2011, 04:55:58 PM by thesis »

Offline bAGrat

  • Advanced Poster
  • **
  • Posts: 741
  • The Republic of Moldova
    • blog
Re: Что делать с ложными срабатываниями?
« Reply #1 on: September 09, 2011, 09:48:33 PM »
отправьте NDD.EXE в он-лайн проверкa аваста
« Last Edit: September 09, 2011, 09:51:56 PM by bagrat »


Windows7 x64 ultimate/avast! 9 free/Spyware Terminator 2012/MCShield

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4111
  • Help you I can
Re: Что делать с ложными срабатываниями?
« Reply #2 on: September 09, 2011, 10:15:47 PM »
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.
May the FOSS be with you!

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Re: Что делать с ложными срабатываниями?
« Reply #3 on: September 10, 2011, 04:02:15 AM »
аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже)

отправьте NDD.EXE в он-лайн проверкa аваста

Хм.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Re: Что делать с ложными срабатываниями?
« Reply #4 on: September 10, 2011, 04:16:16 AM »
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Re: Что делать с ложными срабатываниями?
« Reply #5 on: September 10, 2011, 05:29:31 AM »
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.
Другими словами антивирусное ядро и фаервол могут лишь дополнять друг друга, но никак не заменять.

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Re: Что делать с ложными срабатываниями?
« Reply #6 on: September 10, 2011, 05:45:49 AM »
Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.
1. Так уж часто возникающая? Примеры в студию.
2. "Burglar-1150" достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4111
  • Help you I can
Re: Что делать с ложными срабатываниями?
« Reply #7 on: September 10, 2011, 12:45:33 PM »
Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".
Вы же знаете английский, так что же Вам тут не понятно? Веб-экран сканируект именно страницы, которые Вы посещаете. Он ищет угрозы от элементов на этих страницах и поэтому он сообщает о "проверенных страницах". Сетевой экран сканирует соединения Вашего компьютера через внешние порты. Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о "просмотренных соединениях". За время нахождения в сети компьютер устанавливает множество соединений, но в большинстве - это технические ("невидимые" для пользователя) соединения (например, пользователь не видит на экране процесс поиска запрашиваемого сайта, а компьютер за это время может установить несколько соединений - начиная от поиска сайта и до установления с ним связи).
May the FOSS be with you!

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.

Пожалуйста, еще раз внимательно прочитайте то, что я выше написал.

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Пожалуйста, еще раз внимательно прочитайте то, что я выше написал.
Да хоть сто раз прочитаю, ответ остаётся прежним.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
1. Так уж часто возникающая? Примеры в студию.
2. "Burglar-1150" достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

1. А я разве не в "студии"? Я - плохой пример? Этот NDD - не единственный экземпляр. Есть и другие, просто менее звестные широкой публике. Имена файлов вам ни  о чем не скажут. Файл NEWBIRD.X вам знаком? Полагаю, что нет. Это хранилище каких-то данных, по всей видимости графических элементов, от ДОСовской игрушки 80Ñ‹Ñ… годов. Аваст полагает, что в этом файле есть Dark Avenger-1536/1800. Да, и онлайн-аваст тоже. Да, все остальные антивирусы ничего подозрительного в этом файле не видят.
Файлик размером 32000 байт, структура совершенно прозрачна. Хотите посмотреть на него сами? Вот, пожалуйста
И так далее.

2. "Burglar-1150" вирус и правда не новый. Дрвеб и Nod32 его не видят. Онлайнсканеры Дрвеб и Каспера его не видят. Древние версии антивирусов - современником этого Бурглара - ничего не обнаруживают.
Аваст же его видит - и сканер и онлайнсканер.
Почему?

3. Онлайн-сканеры могут и не находить вируса
Онлайнсканер _аваста_ его таки находит. Чтение этого зараженного (или нет) файла Аваст позволяет. Этот NDD я могу совершенно безнаказанно открыть и посмотреть, скопировать в NULL, отправить по ftp. Скопировать на другой диск не могу, запустить не могу - аваст блокирует.

Но это все лирика. Меня в первую очередь интересует можно ли уменьшить количиество ложных тревог без ущерба для безопасности, и если можно, то как это сделать.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

Ага. При смене антивируса. Полная проверка всей файлопомойки. Полезно бывает весьма, иной раз такие сюрпризы всплывают!

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Re: Что делать с ложными срабатываниями?
« Reply #11 on: September 10, 2011, 04:48:38 PM »
thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Можно было бы согласиться с ложным детектом если бы это был проактивный детект, но эти вирусы чётко обнаруживаются по базам, поэтому ложняк маловероятен.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о "просмотренных соединениях".

ОК. Я сформулирую вопрос иначе.

Исходящее сетевое соединение, в случае с TCP, есть открытый по моей инициативе сокет. Если клиент (мой браузер) запрашивает страницу www.host.com/page.htm, то соединение здесь www.host.com:80, а '/page.htm' - содержание запроса, оформленного согласно протоколу http. По тому же соединению клиент примет от сервера то, что сервер посчитает нужным выдать. Скорее всего эту самую page.htm плюс немного http-заголовков.

Вопрос: что из этого проверяет "сетевой экран"?

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Вопрос: что из этого проверяет "сетевой экран"?
Думается, что это вопрос разрабам.

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4111
  • Help you I can
Re: Что делать с ложными срабатываниями?
« Reply #14 on: September 10, 2011, 06:11:57 PM »
thesis Повторяю, Сетевому экрану до лампочки содержимое данных, пересылаемых через порты. Его задача - проверка допустимости самого соединения. Веб-экран же контролирует именно содержимое полученных данных.
May the FOSS be with you!