Перейти к содержанию
4rward

Kaspersky отправил в карантин Windows Explorer

Recommended Posts

4rward

Дефективное сигнатурное обновление от Kaspersky Lab блокирует Windows Explorer (explorer.exe) как приложение, зараженное вирусом. В результате основной компонент Windows оказывается в карантине или, что еще хуже, удаляется.

Kaspersky Lab опубликовала рекомендации по восстановлению безопасных файлов, помещенных в карантин. Но это не очень утешает пользователей, которые установили автоматическое удаление инфицированных файлов.

Среди пострадавших был читатель The Register Карл (Carl) «У меня заблокировался файл explorer.exe, -сообщает он. - Для решения проблемы потребовалось несколько часов».

Посетив форум сайта Kaspersky, Карл увидел, что он далеко не единственный, кто столкнулся с подобной проблемой. Сообщения о ложных предупреждениях антивируса после обновления баз свидетельствуют, что работа некоторых машин была остановлена.

Дефектные антивирусные сигнатурные обновления - не редкость. Однако последняя ошибка Kaspersky затрагивает основной компонент Windows, сообщает The Register.

Дэвид Эмм (David Emm), старший консультант по технологиям Kaspersky Lab UK, сказал: «Ложные тревоги иногда случаются, и мы относимся к ним очень серьезно. Мы тестируем системы в целях минимизации риска, но иногда случается и такое».

http://www.cnews.ru/news/line/index.shtml?2007/12/21/280697

Интересно ,а как там F-SECURE И ДР.

Добавлено спустя 3 минуты 37 секунд:

Да , чуть не забыл - любители и фанаты KAV(не все конечно :D ) - будьте бдительны и не забывайте понижать мну карму ,как обычно,при обсуждении и при прочтении моих комментов. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ночью, 20 декабря 2007 года, было зафиксировано ложное срабатывание продуктов Лаборатории Касперского на один из системных файлов ОС семейства Windows - explorer.exe. В настоящий момент ошибка в антивирусных базах (сигнатур угроз) была исправлена. Однако, последствия могут проявляться в следующем:

-отсутствует Рабочий стол

-отсутствует меню Пуск и Панель задач

Лаборатория Касперского приносит свои извинения за причиненные неудобства.

http://support.kaspersky.ru/viruses/computers?qid=208635823

Добавлено спустя 1 минуту 54 секунды:

Re: Kaspersky отправил в карантин Windows Explorer

Да , чуть не забыл - любители и фанаты KAV(не все конечно :D ) - будьте бдительны и не забывайте понижать мну карму ,как обычно,при обсуждении и при прочтении моих комментов. :lol:

кому ты нужен нодер :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4rward
кому ты нужен нодер

Я не нодер а Dr.web32ер :D

моя подпись к комментариям скорее ирония (кто понял ,конечно).

Дело не в этом -любите обсуждать чужие ошибки - так давайте пообсуждаем и свои собственные .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Дело не в этом -любите обсуждать чужие ошибки - так давайте пообсуждаем и свои собственные .

давайте :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4rward
давайте

КАV хвалится очень высокой реакцией на угрозы (я это не оспариваю).Положительные стороны этого всем очевидны.Отрицательные стороны - неоптимизированные базы и потенциальные ложные срабатывания.В данном случае фолс на explorer.exe довольно серьёзный т.к. последний -

основной компонент Windows, сообщает The Register.

Какие по-вашему мнению стоит сделать выводы и есть ли компромис ?

Многие скажут , что от этого никто не застрахован и подобное с др. вендорами АВ тоже случается .

Я лично желаю удачи всем и меньше фолсов российским разработчикам АВ в наступающем году.

Добавлено спустя 20 минут 29 секунд:

Я к КАВ отрицательно не отношусь

Своей темой я хотел подчеркнуть ,что бочка мёда хвалённой быстрой реакции может быть испорчена ложкой дёгтя громкого фолса :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Дэвид Эмм (David Emm), старший консультант по технологиям Kaspersky Lab UK, сказал: «Ложные тревоги иногда случаются, и мы относимся к ним очень серьезно. Мы тестируем системы в целях минимизации риска, но иногда случается и такое».

Shit happens.

На самом деле Дэвид сказал чуть больше:

This is classic false-alarm territory," Emm said. "We will check through our systems and see if we can tighten them up so we don't run into this problem in the future. No antivirus company, including ourselves, can say they have never had a false alarm, (but) on all fronts, we do what we can to minimize any potential risk for our customers."

Emm pointed out that Kaspersky adds about 3,000 records per week to its database, demonstrating the "scale of the issue, in terms of testing procedures."

The "offending signature" went out at around 7 p.m. on Wednesday, according to Emm, who claimed that it was pulled two hours later in a "makeshift" attempt to limit the damage while Kaspersky examined the signature.

"We proactively went out to our enterprise customers to make them aware there was this potential issue," Emm said. "Only one corporate customer (in the U.K.) encountered this problem, as well as a handful of home users." He added that users who have not changed their default settings would have found explorer.exe to be only quarantined, rather than deleted.

А вот это вы читали ?

--

19.12.07, Ср, 12:45, Мск

По данным СМИ США, все большее число пользователей жалуются на проблемы в работе Internet Explorer, появившиеся вместе с последним обновлением. Проблемы касаются ПК с установленными Internet Explorer 6 и 7 под Windows XP и Vista.

После установки обновления, которое устраняет критические уязвимости в ПО, Internet Explorer, как утверждают некоторые пользователи, прекращает работу или сразу при запуске, или при попытке загрузить некоторые веб-страницы. Это происходит при посещении сайтов известных компаний, например, FedEx. В настоящее время Microsoft изучает данный вопрос.

Проблемы, упоминаемые в бюллетене безопасности MS07-069, не объясняют данное явление. Microsoft предполагает, что проблема вызвана потерей данных реестра, которые должны были прописываться при установке обновления. Администраторам не рекомендуется удалять обновление, поскольку оно устраняет серьезные уязвимости, которые могут использоваться для внедрения вредоносного кода посредством веб-страниц, сообщает Heise Security. В качестве решения проблемы предлагается просматривать страницы, не отображаемые IE, с помощью альтернативного браузера, такого, как Firefox, Opera и Safari, до тех пор, пока Microsoft не решит этот вопрос.

--

Вот этот самый IE и задетектился....

P.S. А, нет, не этот. Ну да какая уже разница ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Администраторам не рекомендуется удалять обновление, поскольку оно устраняет серьезные уязвимости, которые могут использоваться для внедрения вредоносного кода посредством веб-страниц

Вчера попытался поставить SP1 на Висту.. Весит всё это хозяйство 548 мегабайт, называется KB936330.

Ставилось всё в течение часа, установка закончилась BSODом и полной неработоспособностью системы :(

Так что пускай Микрософт научится делать обновления к своей системе (да и сами системы не мешало бы научиться делать :lol: ) а затем уж производители ПО что-то антивирусного к этим системам пусть придумают..

Ещё хорошо, хоть образ сделал Акронисом заблаговременно, а то бы всё пришлось ставить заново, это вам не один файлик в системе восстановить :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState
Среди пострадавших был читатель The Register Карл (Carl) «У меня заблокировался файл explorer.exe, -сообщает он. - Для решения проблемы потребовалось несколько часов».

7 минут, ровно столько я потратил на решение проблемы...Значит как жаловаться в Инете эти люди спецы а как небольшую проблемку решить так у них руки кривые...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Ну бывает и так :) развели демагогию )))

кого-нибудь уволили из лк за это кстати? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
кого-нибудь уволили из лк за это кстати? :)

Ну почему увольнять?! Мало-ли кто может совершить ошибку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
кого-нибудь уволили из лк за это кстати?

Если бы за все допущенные фолсы Касперский увольнял, то уже давно ходил с уборщицей по безлюдному зданию ЛК.

А в чём проблема? Я уже по этому поводу полгода назад дискутировал, и тут на форуме, и на форуме ЛК и с E.K.

Основной совет (когда начинаешь нажимать: -Что ваши ошибки мне создают офигенные проблемы, времени, и стоят немало нервов) от всех гуру ЛК:- Не нравиться не пользуйся!

Совет мной был учтен, и я уже давно перевёл всю свою сетку на другой продукт. И нисколько не пожалел об этом. Так что спасибо ЛК что открыло мне глаза ещё полгода назад!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Если бы за все допущенные фолсы Касперский увольнял, то уже давно ходил с уборщицей по безлюдному зданию ЛК.

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
КАV хвалится очень высокой реакцией на угрозы (я это не оспариваю).Положительные стороны этого всем очевидны.Отрицательные стороны - неоптимизированные базы и потенциальные ложные срабатывания.

Всё же практика показывает, что увеличение времени реагирования вряд ли решит проблему ложных срабатываний. И не факт, что уменьшит её. Тенденции "медленнее = надёжнее" с антивирусными продуктами не наблюдается. Так что моё мнение такое: проблема ложных срабатываний есть, она серъёзная, надо её решать, но замедление времени реагирования - не решение.

Лично мне не совсем понятно. Ведь обновлённые базы так или иначе прогоняются на тестовой базе чистых файлов перед выкладкой. Как получилось, что в этой базе не было explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вот-вот. Очень не дорого (для такой компании) иметь стенды с матерями и видяхами разных производителей и держать на них от Win2k SP4 до WinVista.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Помнится, несколько лет назад была распиариная новость о том, что ЛК закупили какие то мощные дата-центры для тестирования баз перед выпуском обновлений (вроде). Если так оно и есть, то нынешняя проблема это чистое головотяпство. Либо виноват дежурный смены (если у них таковой есть), просто поленившийся потестить апдейт. Или же датацентр был занят или вышел из строя, а апдейт выкладывать надо (потому что график) и решили выложить так, на свой страх и риск (а это уже - нарушение технологического процесса).

Очень не дорого (для такой компании) иметь стенды с матерями и видяхами разных производителей и держать на них от Win2k SP4 до WinVista

Уверен что чтото подобное в ЛК есть (как минимум кучи файлов, в том числе системных, сваленных с таких машин). Так что или технический сбой или человеческий фактор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

У ЛК базы выкладывает и формирует робот-автомат, спецы кормят его сигнатурами а он выкладывает. Накакнуне этого проишествия на форуме ЛК в разделе "Борьба с вирусами" шло обсуждение файла explorer.exe и iexplorer.exe, которые гуляют по сети и почте (сам такой получал по почте но ни как не определился), вот видимо хотели добавить в базы а он на оригинал сработал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Всё же практика показывает, что увеличение времени реагирования вряд ли решит проблему ложных срабатываний. И не факт, что уменьшит её. Тенденции "медленнее = надёжнее" с антивирусными продуктами не наблюдается. Так что моё мнение такое: проблема ложных срабатываний есть, она серъёзная, надо её решать, но замедление времени реагирования - не решение.

whitelisting.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
whitelisting.

ЛК и bit9 уже дружат, так что все будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

В своей практике я тоже не раз замечал, что в некоторых случаях заражения вирусами при лечении активного заражения Антивирус Касперского (в. 6 и 7) действительно схватывает первым делом EXPLORER.EXE.

По-моему тут выход один - при первом его сообщении о том, что EXPLORER.EXE заражён (когда ещё не удаётся выполнить правильную настройку только что установленного Антивируса), лучше выбрать кнопку "Пропустить" и тут же настроить AVP на опцию "Лечить", и если лечение невозможно, то удалять. Иначе, действительно EXPLORER.EXE и работа в системе окажутся парализованными. Такое возможно, когда в системе в паре хозяйничают Trojan.Win32.VB и одна из модификаций Sality, заражающая exe-файлы. Правда exe-файлы от этой Sality легко лечется, что радует. :)

Вероятнее всего тут дело не в "неправильности работы антивируса", а в том, что создатели подобных malware используют уязвимость самой Windows. Антивирус же призван не бороться с ней, а защищать её.

В случае же сильной заражённости ж/д лучшим выходом будет вылечить этот диск с другого компьютера, а потом вернуть его на место, установить антивирус в подлеченную систему и проверить весь ПК.

Почему ещё раз проверить? Дело в том, что некоторые malware проявляют свою вредную сущность только в активной системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Если Вы хозяин ПК, то Вам удобнее, чтобы Антивирус задавал вопросы. А если это организация с не одним десятком ПК? При таких раскладах многие (и я в том числе) ставят автолечение/удаление у сотрудников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей-001

Если Вы хозяин ПК, то Вам удобнее, чтобы Антивирус задавал вопросы. А если это организация с не одним десятком ПК? При таких раскладах многие (и я в том числе) ставят автолечение/удаление у сотрудников.

Это не совсем так. Я писал про ЛЕЧЕНИЕ АКТИВНОГО ЗАРАЖЕНИЯ ПК с одновременной установкой AVP Касперского. В начале при установке ОН не даёт пользователю ПРАВО ВЫБИРАТЬ ЛЕЧЕНИЕ. А только Пропустить или Удалить. (Только когда выберешь Настройку и проведёшь собственную, только тогда можно будет Лечить). И это наблюдается ещё со старших версий. Тогда хотя бы malware были не те. Кто-нибудь может сказать об этом вирусологам? Пока Его Величество позволит войти в настройки, пользователь может незная позволить поудалять кучу файлов и Explorer.exe не исключение. Почему кнопка "Лечить" - не предлагается во первых рядах?

Например, тот же вирус Sality есть в двух основных ипостасях: 1 - заражает папки, 2 - заражает exe-файлы. Первый нет смысла лечить, а от второго exe-файлы лечаться.

Догадайтсь, что выберает испугавшийся пользователь? - Удалить.

Статистика из моей практики - 99 процентов обычных пользователей это выбирают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
    • santy
      вообще-то это со слов юзера, не факт что было именно так.   chklst & delvir автоматически не добавляются, если количество сигнатур задействованных при детектировании равно нулю. в данном случае была одна сигнатурка (потому и вышел chklst&delvir), скорее всего фолс на чистом файле, которая не была исключена, но она не попала в скрипт за счет автоматического hide file. hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\XCPCSYNC.OEM\SYNCSDK.209.604\TRANSLATORS\MSOL\PROFMAN64.DLL
    • PR55.RP55
      " что там у пользователя уже в базе есть никто не знает." Мало вероятно, что в базе у пользователя что есть... v4.1.7z (1.03 МБ)  Но  автоматически добавлять команду:  delvir и т.д. не стоит. Пока остаюсь при своём мнении.
    • demkd
      А она есть, поскольку ничего другого выгрузить драйвер не могло, ну а что там у пользователя уже в базе есть никто не знает. Тем более что сигнатура у него даже с глубиной совпадения 17 дает более 300 фолсов только по этому образу. uVS не выгружает ничего кроме того что прямо или косвенно указано оператором или через сигнатуры и delvir или delall/unload, никак иначе. Спасибо, исправлю, но хорошо бы еще пароль к архиву, стандартные не подходят

       
    • alamor
      Если будет говорить, что ЭЦП целая на действительно валидную подпись у файла, а не на эту интеловскую, то другое дело :). В архиве четыре подобных файла.
×