[kaspersky 4.5.0.94] identificeert real vnc als virus

De standard-database gebruiken ipv de extended database?

Hij detecteerd VNC dus als RiskWare en niet als virus ("not-a-virus" zegt genoeg), wat het ook is, want het word behoorlijk vaak gebruikt voor het hacken van PC's / servers.

Hmmz . . . ik heb zojuist KAV 5.0.156 geïnstalleerd en die doet hetzelfde. Is dat te veranderen? Zo niet dan zal ik een andere moeten zoeken die VNC niet als Virus aanmerkt.

Ok, ik heb inmiddels een exception kunnen opgeven zodat hij WinVNC niet aanmerkt als een 'not-a-virus' en hem zijn gang laat gaan.

Ik blijf het wel vreemd vinden. Het lijkt wel of KAV extreem kritisch is . . .

[ Voor 39% gewijzigd door DJ op 28-02-2005 22:50 ]

Het lijkt zo omdat het zo is.

VNC wordt, zoals wildhagen hierboven ook al aangeeft, vaak gebruikt voor het onderhouden van gehackte PC's / Servers.

Wat is de default actie die KAV doet in zo'n geval? Bij mij heeft ie namelijk radmin mooi lopen weggooien. Dat een virusscanner een legitieme tool aanduid als risk oke, maar om het gelijk maar even te gaan deleten vind ik echt onzin. Maar goed, da's meer een discussie voor het grote anti virus programma's topic (oid).

edit: deze dus

Gebruiken jullie de extended bases? Ik vind dit soort "detecties" namelijk niet echt in de normal bases thuishoren, of het moet alsnog uit te zetten zijn.

[ Voor 34% gewijzigd door Bor op 28-02-2005 23:13 ]

Bor_de_Wollef schreef op maandag 28 februari 2005 @ 23:11:

Gebruiken jullie de extended bases? Ik vind dit soort "detecties" namelijk niet echt in de normal bases thuishoren, of het moet alsnog uit te zetten zijn.

Daarom noemen ze het dus ook extended bases.

Dan mist er nog een duidelijke omschrijving in het verschil tussen de standard en de extended bases. Ik heb deze, of soortgelijke vragen, al vaak gehad over KAV. Het blijkt in de praktijk niet echt duidelijk wat nou precies het verschil is tussen de standard en de extended bases.

Nou ja, ik vindt dat het op zich een beetje te ver gaat als KAV deze tools aanmerkt als 'gevaarlijk'. Maar ik kan het wel begrijpen (zie commentaar van Wildhagen).

Ik weet nu dat ik de bestanden in kwestie kan 'exluden', dus voor mij is het probleem hiermee opgelost.

Bor_de_Wollef schreef op dinsdag 01 maart 2005 @ 09:01:
Het blijkt in de praktijk niet echt duidelijk wat nou precies het verschil is tussen de standard en de extended bases.

Heb je daar voorbeelden van?
http://www.kaspersky.com/extraavupdates?chapter=146235718 staat omschreven wat tot de extended bases behoort.

Ik gebruik overal extended bases, zodat adware ook door KAV verwijderd kan worden. Riskware (mIRC, VNC, Radmin etc.) gebruik ik toch nergens. Pstools heb ik excluded.

Zie verder:
[rml]Schouw in "[ Virusscanners] discussietopic deel 2"[/rml]
[rml]wildhagen in "[ Virusscanners] discussietopic deel 2"[/rml]
[rml]Schouw in "[ Virusscanners] discussietopic deel 2"[/rml]

Voorbeelden? Ik neem aan dat de meeste mensen hun bases kiezen vanuit de antivirus tool zelf, daar staat het niet echt duidelijk omschreven. In de latere versies staat er dat KAV applicaities "u may use" kan markeren. In oudere versies stond hier helemaal niets. Ach, en riskware? Alle remote admin tools etc zijn riskware. Ik vind het niet aan mijn virusscanner om daar over te oordelen. De doorsnede gebruikers zullen het vrees ik ook niet echt begrijpen. Kijk, het is de policy van KAV dat alleen versies worden toegevoegd die bij een "compomised system" zijn aangetroffen. Dat vind ik bijvoorbeeld al een vage omschrijving en een onduidelijke policy. Als iemand dus bv serv-u versie 5 op een gehacked systeem vind wordt die wel toegevoegd maar versie 5.01 niet?

Overigens gaat dit steeds meer richting het virusscanners discussietopic. Ik stel een topic merge voor

Bor_de_Wollef schreef op dinsdag 01 maart 2005 @ 10:39:
Voorbeelden?

Ik zat aan voorbeelden te denken van files die gedetecteerd werden, waarvoor niet duidelijk was of dat extended of standard bases waren.

Ach, en riskware? Alle remote admin tools etc zijn riskware.Ik vind het niet aan mijn virusscanner om daar over te oordelen.

Dan zet je extended bases uit. Handig he, keuze

De doorsnede gebruikers zullen het vrees ik ook niet echt begrijpen.

Je hoeft het niet aan te zetten? Standaard staan de bases ook op standard.

Kijk, het is de policy van KAV dat alleen versies worden toegevoegd die bij een "compomised system" zijn aangetroffen. Dat vind ik bijvoorbeeld al een vage omschrijving en een onduidelijke policy. Als iemand dus bv serv-u versie 5 op een gehacked systeem vind wordt die wel toegevoegd maar versie 5.01 niet?

Ik vind dat eigenlijk heel concreet, die policy. Alleen jij bent het er blijkbaar niet mee eens, en uiteraard mag dat.

blackd schreef op dinsdag 01 maart 2005 @ 11:03:
[...]

Ik zat aan voorbeelden te denken van files die gedetecteerd werden, waarvoor niet duidelijk was of dat extended of standard bases waren.


[...]

Dan zet je extended bases uit. Handig he, keuze

[...]

Je hoeft het niet aan te zetten? Standaard staan de bases ook op standard.

[...]

Ik vind dat eigenlijk heel concreet, die policy. Alleen jij bent het er blijkbaar niet mee eens, en uiteraard mag dat.

Ik gebruik de extended bases ook niet, maar ik ken mensen die hem er op hebben gezet omdat ze dachten dat het nog beter beschermde tegen virussen.

Die policy is wel vrij concreet, maar het slaat de plank volledig mis. Waarom dan alleen componenten toevoegen die KAV heeft aangetroffen op compromised systems? Hoeveel "compromised systems" zien ze eigenlijk? Het lijkt er op dat ze alleen de versies pakken die bij sommige hack kits zitten. Want zeg nou zelf, wat maakt het een hacker (of cracker, wat jij wilt) nou uit welke versie radmin of serv-u hij gebruikt?

Bor_de_Wollef schreef op dinsdag 01 maart 2005 @ 11:06:
Ik gebruik de extended bases ook niet, maar ik ken mensen die hem er op hebben gezet omdat ze dachten dat het nog beter beschermde tegen virussen.

Tja, daar loop je dan een beetje tegen de problemen van 'Human-Computer interaction' op. Hoeveel waarschuwingen moet je geven (en hoeveel waarschuwingen klikt men argeloos weg) voor het eindelijk duidelijk is. In de Help wordt duidelijk omschreven dat het niet om virussen gaat, maar om andere software:

download extended anti-virus database from the Kaspersky Lab update server. Apart from detecting all currently existing malware, extended database allows you to detect programs providing to intruders remote access to your data.

Ik kan helaas niet meer kijken wat voor waarschuwingen je krijgt bij het selecteren van extended bases, en ik kan alleen voor KAV 5 Personal spreken, niet voor 4.5.

Die policy is wel vrij concreet, maar het slaat de plank volledig mis. Waarom dan alleen componenten toevoegen die KAV heeft aangetroffen op compromised systems? Hoeveel "compromised systems" zien ze eigenlijk? Het lijkt er op dat ze alleen de versies pakken die bij sommige hack kits zitten. Want zeg nou zelf, wat maakt het een hacker (of cracker, wat jij wilt) nou uit welke versie radmin of serv-u hij gebruikt?

Hoor net dat er een generic sig is voor ServU

blackd schreef op dinsdag 01 maart 2005 @ 11:12:
[...]

Tja, daar loop je dan een beetje tegen de problemen van 'Human-Computer interaction' op. Hoeveel waarschuwingen moet je geven (en hoeveel waarschuwingen klikt men argeloos weg) voor het eindelijk duidelijk is. In de Help wordt duidelijk omschreven dat het niet om virussen gaat, maar om andere software:

Yep, maar niemand leest de helpfile. Je krijgt wel een korte waarschuwing maar die is niet duidelijk genoeg blijkbaar (en deze hoef je ook niet weg te klikken).

Maar goed, we kunnen deze "discussie" beter in het grote topic houden vind ik. Zo krijgen we alleen maar versnippering en dubbelposts.

[ Voor 12% gewijzigd door Bor op 01-03-2005 11:29 ]

Bor_de_Wollef schreef op dinsdag 01 maart 2005 @ 11:28:
Yep, maar niemand leest de helpfile.

Vandaar mijn punt, de HCI-experts geven dan gelijk de applicatie de schuld ("de gebruiker heeft altijd gelijk"), maar ik denk dat je als gebruiker best even de helpfile kunt raadplegen als je niet (precies) weet wat iets doet.

Overigens wordt riskware geflagged als not-a-virus.RiskWare..(wat wildhagen al heeft gezegd), daar leest iedereen ook overheen... Hoe kun je het dan wel duidelijk maken vraag ik me af.

Maar goed, we kunnen deze "discussie" beter in het grote topic houden vind ik. Zo krijgen we alleen maar versnippering en dubbelposts.

In oudere versies werden de files niet alleen geflagged maar totaal verwijderd. Hoe je het dan duidelijk kunt maken? Een warning dialoog als iemand de extended bases wil selecteren lijkt me voldoende eigenlijk.

Bor_de_Wollef schreef op dinsdag 01 maart 2005 @ 11:42:
In oudere versies werden de files niet alleen geflagged maar totaal verwijderd.

In oudere versies (4.x) moest je de server paden ook aanpassen, wilde je de ext. bases gebruiken. Dat is nog 'gebruikersonvriendelijker' en zorgt ervoor dat er nog minder 'simpele gebruikers' die ext. bases gebruiken. Hoe dit moet, staat ook in een eerder linkje van mij met de beschrijving wat ext. bases eigenlijk zijn. Laten we die scheiding in ieder geval goed behouden (4.x vs 5.0).
Bij 5.0 is het aanpassen van standard naar ext. bases veel simpeler geworden.

Hoe je het dan duidelijk kunt maken? Een warning dialoog als iemand de extended bases wil selecteren lijkt me voldoende eigenlijk.

vziw doet 5.0.227 dat. Ik weet niet met welke versie de problemen ontstaan zijn ("maar ik ken mensen ... beschermde tegen virussen."), wellicht dat dat met .227 niet meer gebeurt.
Er bestaat natuurlijk altijd nog een kans dat de gebruiker het argeloos wegklikt...