В Лабораторию Касперского вирусных аналитиков "набирают по объявлениям"

[spw 190]

На протяжении двух дней автоматические сервисы по обработке угроз, а так же вирусные аналитики Лаборатории Касперского продолжают войну с невиданной угрозой.

Все началось с того, что KIS стал детектировать страницу

http://www.saule-spb.ru/library/hosts.html

как... вредоносную.

Это очень древняя статья о hosts-файле.

Вначале при отсылке им ссылки на проверку (с сообщением о false) приходил автоматический ответ:

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

После этого удалось все-таки достучаться до каких-то живых людей, очевидно, набранных по объявлениям.

Ответ был следующим:

Здравствуйте,

Нам не удалось воспроизвести детектирование нашим продуктом.

Пожалуйста, обновите антивирусные базы.

Если проблема сохранится, пришлите, пожалуйста, скриншот детектирования и, желательно, логи продукта.

С уважением, Андрей Рябцев

Вирусный аналитик.

При этом, безусловно, все детектируется у всех пользователей KIS.

После этого опять попытались достучаться до разума этих людей.

На что был получен ответ, который я даже не знаю как воспринимать. Я бы его назвал "ржака и абассака".

Здравствуйте,

Была обнаружена модификация файла 'hosts'. Возможно, это было вызвано вредоносными операциями. Если вы уверены, что модификация была произведена доверенным приложением, то добавьте 'hosts' файл в список исключений.

С уважением, Илья Симонов

Вирусный аналитик

После того, как человеку сказали, что это СТАТЬЯ, в ИНТЕРНЕТАХ, идут жалобы от пользователей их же продукта и т.д., пришел не менее замечательный ответ

Здравствуйте,

Пришлите, пожалуйста, трассировку компонентов продукта. Инструкция находится здесь:

http://support.kaspersky.ru/faq/?qid=208638496

Для веб-страниц нам также необходим .MHT архив страницы (в браузере Internet Explorer его можно получить, воспользовавшись пунктом "Сохранить как" контекстного меню).

Наша служба технической поддержки поможет Вам в случае каких-либо затруднений. Для создания запроса воспользуйтесь формой:

http://support.kaspersky.ru/helpdesk.html?LANG=ru

Настоятельно рекомендуем перед отправкой запроса в службу техподдержки просмотреть наши ответы на часто задаваемые вопросы в Базе Знаний: http://www.kaspersky.ru/faq и на форуме Лаборатории Касперского: http://forum.kaspersky.com.

С уважением, Илья Симонов

Вирусный аналитик

Переведите, пожалуйста, Илью Симонова в support. Обычно такие откровенные тупицы с копи-пастой из knowledge base и авто-дебильными ответами сидят там. Собственно, почему в саппорт в большинстве случаев бесполезно обращаться.

Теперь сотрудник ЛК, который подпишется как "Вирусный аналитик", у меня всегда будет вызывать ассоциацию с Ильей.

Где, НУ ГДЕ висели те объявления, по которым были набраны эти сотрудники?

[Сергей Ильин 1538]

Была обнаружена модификация файла 'hosts'. Возможно, это было вызвано вредоносными операциями. Если вы уверены, что модификация была произведена доверенным приложением, то добавьте 'hosts' файл в список исключений.

Вот это реально меня развеселило

Получается, что если я выложу, например, на АМ модифицированный hosts, то нас тоже будут детектировать? Кстати, хороший был бы эксперимент.

[Umnik 997]

например, на АМ модифицированный hosts, то нас тоже будут детектировать

Нет.

При этом, безусловно, все детектируется у всех пользователей KIS.

У меня нет детекта. Потому и нужные трейсы. По ним будет ясно, какой компонент сделал подлянку.

[сарказм]

Где, НУ ГДЕ висели те объявления, по которым были набраны эти сотрудники? facepalm.gif blink.gif

http://hh.ru/[сарказм]

[spw 190]

У некоего сотрудника ЛК с этого форума воспроизводилось, собственно, он продолжает со своей стороны попенывать своих коллег.

Текущий вариант на сайте: на нем заменили в доменах английские буквы 'a' и 'e' на русские 'а' и 'е', так как предполагали, что это может повлиять. Однако, вчера и это не мешало (т.е. не помогло никак) детектировать данную страницу у пользователя, кто впервые об этом сообщил.

Можете скачать страничку, заменить все назад и проводить эксперименты.

Трейсы воспроизвести нет возможности, т.к. пользователям это будет объяснить сложновато.

А вот и доказательная фотограмма:

[Umnik 997]

Ну, если у кого-то воспроизвелась из сотрудников, пусть делает трейсы.

Вообще на скриншоте WKS MP3

екущий вариант на сайте: на нем заменили в доменах английские буквы 'a' и 'e' на русские 'а' и 'е', так как предполагали, что это может повлиять.

Детект только на сам hosts. УРЛ значения не имеет.

[sww 486]

Очевидно, что это универсальная запись + "распаковали" .html

[spw 190]

Детект только на сам hosts. УРЛ значения не имеет.

Я это прекрасно понимаю, потому что "hosts.html//hosts" свидетельствует явно о том, что изнутри hosts.html вытащен embedded объект 'hosts'-файл (что слегка нелепо, но хорошо). И вот он уже детектируется.

Проблема в том, что все-таки это полноценный html, а не какой-нибудь mht с аттачем натурального hosts. То есть произвели "распаковку" там, где, похоже, не очень нужно это делать.

_______

Ну и еще. С false positive и детектом-то ладно. (Исправить надо, но суть понятна).

Что с сотрудником(ами)-то? Как они там?

[Юрий Паршин 330]

Зачем так эмоционально? У меня вот тоже детект не воспроизвелся..

[sww 486]

Зачем так эмоционально? У меня вот тоже детект не воспроизвелся..

Сегодня у меня не воспроизводится, вчера - 100% детект KIS 2011.

[spw 190]

Зачем так эмоционально? У меня вот тоже детект не воспроизвелся..

Затем, что ответы в стиле саппорта госуслуги.ру раздражают. И людей, которые некомпетентны не нужно держать.

Юрий, если Вы сможете найти связь между ответом "вирусного аналитика" и ситуацией, объясните ее мне. Я пока что вижу KB-autogenerated-reply, для которых люди не нужны. Уровень понимания тот же или даже хуже.

[Юрий Паршин 330]

Сегодня у меня не воспроизводится, вчера - 100% детект KIS 2011.

Что-то на странице, видимо, изменили?

[Umnik 997]

От и нашли того сотрудника, у которого детект был.

[spw 190]

Что-то на странице, видимо, изменили?

Выше в одном из моих комментариев написано, что было изменено.

Но вчера это не влияло ни на что. (Степерь корректности этого заявления оценить на 100% не могу).

127.0.0.1 ftp.kаspеrskylab.ru

127.0.0.1 ids.kаspеrsky-labs.com

127.0.0.1 kаspеrsky.com

127.0.0.1 kаspеrsky-labs.com

127.0.0.1 liveupdate.symаntеc.com

127.0.0.1 liveupdate.symаntеcliveupdate.com

127.0.0.1 www.symаntеc.com

127.0.0.1 updаtе.symаntеc.com

127.0.0.1 updаtеs.symаntеc.com

127.0.0.1 updаtеs1.kаspеrsky-labs.com

127.0.0.1 updаtеs1.kаspеrsky-labs.com

127.0.0.1 updаtеs2.kаspеrsky-labs.com

127.0.0.1 updаtеs3.kаspеrsky-labs.com

Вот здесь везде английские 'a' и 'e' были заменены на русские аналоги.

[sww 486]

От и нашли того сотрудника, у которого детект был.

Да-да, но меня и самого несколько удивляет некомпетентность ответов. То есть люди даже не потрудились разобраться в проблеме.

[Юрий Паршин 330]

Юрий, если Вы сможете найти связь между ответом "вирусного аналитика" и ситуацией, объясните ее мне. Я пока что вижу KB-autogenerated-reply, для которых люди не нужны. Уровень понимания тот же или даже хуже.

Из вышеприведенных ответов некорректным можно счесть только один, где посоветовали добавить неизвестно что в исключения. Все остальное верно, так как цель - получить информацию от пользователя с минимальными знаниями (откуда ж мы знаем, кто нам написал). Целью было - получить трейсы продукта или экземпляр именно той страницы, на которой был детект, так как в вирлабе воспроизвести проблему не удалось.

[spw 190]

От и нашли того сотрудника, у которого детект был.

Конечно, потому что на Соборной Комиссии Ч.О. шла ожесточенная наточка багров.

Из вышеприведенных ответов некорректным можно счесть только один, где посоветовали добавить неизвестно что в исключения.

Весь пост строится вокруг него.

Все остальное верно, так как цель - получить информацию от пользователя с минимальными знаниями (откуда ж мы знаем, кто нам написал). Целью было - получить трейсы продукта или экземпляр именно той страницы, на которой был детект, так как в вирлабе воспроизвести проблему не удалось.

Запрос по трейсам был на вторые сутки(!), после длительных попыток объяснить, что все-таки не все хорошо.

Причем длительных попыток не от одного человека.

Экземпляр страницы был отослан несколько раз. История об этом повествует в самом своем начале. Отослано было в т.ч. сотрудником ЛК, у которого это воспроизводилось на его компьютере. И уж коли в ответ приходят на протяжении суток дебиловатые сообщения, пришлось искать альтернативные пути решения, как говорится - workaround. В любом случае, ни у кого нет уверенности, что это как-то помогло. (И судя по всему, не помогло).

[Umnik 997]

127.0.0.1 ftp.kasperskylab.ru

127.0.0.1 ids.kaspersky-labs.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 updates1.kaspersky-labs.com

127.0.0.1 updates1.kaspersky-labs.com

127.0.0.1 updates2.kaspersky-labs.com

127.0.0.1 updates3.kaspersky-labs.com

[spw 190]

Ну что, теперь ни один сотрудник не может зайти на любименький флеймо-ресурчик? )

Umnik, ты еще шапку hosts-файла прикрути стандартную. Возможно, это важно.

[Umnik 997]

Детекта странички АМ по-прежнему нет.

Sp0Raw

Можешь вернуть обратно тот, что детектился? Т.е. без замен а и е. Можно копипастом из моего #21, я взял твое и ctrl+h

[sww 486]

Экземпляр страницы был отослан несколько раз. История об этом повествует в самом своем начале. Отослано было в т.ч. сотрудником ЛК, у которого это воспроизводилось на его компьютере.

Я отсылал лишь ссылку. Протупил и не отослал экземпляр страницы.

[spw 190]

Sp0Raw

Можешь вернуть обратно тот, что детектился? Т.е. без замен а и е. Можно копипастом из моего #21, я взял твое и ctrl+h

Вообще неохота, вы localhost сервер поднять не можете? Поднимите и все. Или в интернетиках на narod.ru выложите. Сказали же, что url значения не имеет.

Я отсылал лишь ссылку. Протупил и не отослал экземпляр страницы.

Под экземпляром подразумевалась ссылка, на тот момент, очевидно, ее можно было использовать as is для любых действий.

[Юрий Паршин 330]

Вообще неохота, вы localhost сервер поднять не можете? Поднимите и все. Или в интернетиках на narod.ru выложите. Сказали же, что url значения не имеет.

Да, занимаемся.

[spw 190]

Я отсылал лишь ссылку.

Я разместил лишь объяву.

[rkhunter 150]

А зачем такой громкий заголовок у поста? Попиариться опять решили?

[Umnik 997]

Прошу прощения, потер свои посты и связанные сними. То, что я говорил, устарело лет на... Короче, все не так сейчас и получилась дезинформация.