Перейти к содержанию
broker

Ложное/правильное срабатывание

Recommended Posts

broker

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

проблема с сецефой возникла примерно 1 декабря, и фактически была закончена 1 декабря!!! НО сама dll осталась и только в феврале 6 каспер это всё натворил.. В том же феврале и тема была создана и вендору вся информация была предоставлена.. Странно было бы, если БЫ ЗА 2 месяца ничего не изменилось!!!

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

БСОД - был специфический глюк? Или покажите логи - интересно стало что он там налечил / удалял...

что было описано выше..

Добавлено спустя 2 минуты 34 секунды:

1. Вы неправы, про лечение залоченных файлов речи небыло - раз

2. Какраз там и написали что работа с залоченными файлами ограниченна только чтением а доспут на запись осуществляется штатными способами - два

3. АВ у вас спросил - "лечение невозможно" и 2 варианта - удалить или пропустить

4. Нашет симантека - это не ко мне Ж) Я тллько клоню к тому что чудо технолггии здесь совсем непричем.

что тут сумбур какой -то... вы это откуда взяли всё???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

С чего вдруг такой тон?

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

А кто оспаривает?

А ссылочку на другие ветки можно? Хоть почитаю...

А вобще я в этот топик пришел ввиду "наездов" на новые технологие, совершенно неверные между прочим.

Когда глючат аналитики - это одно Ж) Когда программа - совсем другое. И ненадо перемешивать Ж)

Собсно непонятки возникли из за отсутсвия информации.

В настройках стояло Лечить, не лечится - удалять? Тогда вопросов нету (Аналитики стормозили)

Если было - не лечится - спросить - тогда сами виноваты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

Вы имхо неправы, тестируется наличие фалсов на чистых файлах Ж) Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Накто не тестурует поведение системы при удалинее у нее файла (зараженного)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Еще как заражает, это необходимо с точки зрения контроля качества по стандарту ISO 9001 и все крупные вендоры это делают, а Trend Micro после случая о котором Вы говорите подходит к этому ох как серьезно, а Касперский ??? Что то я часто слышу о проблемах после его лечения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Что то мне слабо верится.. если апдейты некоторых вендеров просто грохают систему еще ничего непоймав Ж)

ИМХО - Вы неправы. В таком случае надо каждый вирус - запускать на кластере Ж) затем лечить.. затем проверять все ли работает. затем все восстанавливать и опять.....

Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Не совсем :D

В соответствии с требованиями стандарта, контроль качества технологии состоит в том, чтобы действие производимое определенным инструментом не могло причинить вреда при всех реально допустимых комбинациях факторов. Для этого естественно им приходится заражать все возможные варианты систем, в которых гарантируется работоспособность АВ продуктов и применять тестируемые методы лечения на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

Я вот как раз тоже об этом подумал. Скорее всего в случае с Trend Micro имеется ввиду проверка паттернов лечения/восстановления системы для DCS, им тут деваться некуда. Но на сколько я знаю, DCS вычищает далеко не все, так что о повальном тесте всего, что добавляется мне с трудом вериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

Сергей, косвенно это подтвержает длительность цикла Quality Assurance (QA) у Trend Micro. Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше), а вот Control Pattern Release (CPR) и OPR (Official Pattern Release) до 4-8 часов... После прохождения QA...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
так что о повальном тесте всего, что добавляется мне с трудом вериться.

И нам тоже, но это действительно так, убедились уже на опыте общения с АВ инженерами Trend Micro. А у нас с ними уже вполне доверительные отношения :)

Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше)

Совершенно верно, это тип патерна включает все уже оттестированные к данному моменту сигнатуры и "срочно" оттестированную проблемную сигнатуру, CPR включает только оттестированные сигнатуры, но он не распространяется автоматически так как не содержит срочных и критичных обновлений, OPR доступен для автоматического обновления и выпускается при вирусной эпидемии, при определенно большом накоплении новых сигнатур, но не реже чем раз в 22-26 часов. Так это происходит у Trend Micro.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Никто не тестирует поведение системы при удалении у нее файла (зараженного)

Откуда у вас такие сведения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Добавлено спустя 4 минуты 4 секунды:

А большое время тестирование неозначает ничего кроме как большого количества чистых файлов.. Касп успевает за час... а некоторые нет..

Но еще раз повторю - никто не тестирует на стабильность системы после удаления Ж) Давайте ради эксперемента вы пошлете sfc.dll из этого топика, но небудете их просить делать лечение (если сами решат - зделают)... После выхода апдейта мы посмотрим на результат Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

На моей памяти, это второй случай за всю историю Trend Micro. Принципиально, что это не ошибка инженера (которую никто не отрецает), а ошибка в самой системе качества. Почему-то неполадка с этим обновлением не была выявленна. Фокус в том, что Trend Micro крупная компания с огромным количеством крупных клиентов. Любой проступок становится известным широкой публике через прессу.

Добавлено спустя 3 минуты 21 секунду:

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

обращаю внимание, что sfc.dll из данной ветки - не есть заражённая DLL - это DLL с отключенной функциональностью. Повторяю это не вирус, максимум как можно было классифицировать как riskware.

Добавлено: Пн Апр 17, 2006 7:53 pm Заголовок сообщения:

Проверил я сейчас... но что-то непонял?!

17.04.2006 19 45 58 Файл: C:mansfc1sfc_чистаяsfc.dll ok проверен

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll не вылечен обработка отложена пользователем

17.04.2006 19 45 58 Файл: c:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll создана резервная копия

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll вылечен троянская программа

А эцп каспер тоже восстановил???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Забыл проверить (но имхо нет), но в любом случае эта дллка сама себя восстановит из кеша винды...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

Миша, здесь мы не спорим, что система качества существовала вопросов нет, однако именно после этого случая возникло понятие QA, процитирую известную тебе девушку (Алису)...

Sorry for not explaining you that. "under QA" means that the pattern file is

still in the QA prozess and QA comes from quality assurance. Since pattern

2.594.00 as we experienced grave performance issues we decided to elaborate

the quality assurance process for all our pattern file. The process enfolded

now not only detection of malware and false positive tests, it has also a lot

of quality tests regarded to product integration and active update download

(this is not applied to CPRs). Since we decided to provide high quality

pattern the detection speed goes down - and that because of the long timeр that

the whole QA process needs.

По всей видимости,исходя из слов Alice, тестировались не все паттерны, а выборочно, после этго несчастного 594-го паттерна, стали тестироваться все OPR-ки и CPR-ки (последние кроме деплоя). С другой стороны Trend стал активнее распостранять Bandage Pattern, при том если несколько месяцев назад AVSERVICE, сам принимал решение стоит выпускать Bandage или нет, то сейчас задает вопрос стоит "зажигать" по этому поводу или нет. (Или это уже репутация домена polikom.ru сказывется)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

Специфику вируса изучали?.. в dllкэше нет этой DLL!!!!!.. НАДО из сервис пака перезаписывать ручками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×