Перейти к содержанию
broker

Ложное/правильное срабатывание

Recommended Posts

broker

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

проблема с сецефой возникла примерно 1 декабря, и фактически была закончена 1 декабря!!! НО сама dll осталась и только в феврале 6 каспер это всё натворил.. В том же феврале и тема была создана и вендору вся информация была предоставлена.. Странно было бы, если БЫ ЗА 2 месяца ничего не изменилось!!!

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

БСОД - был специфический глюк? Или покажите логи - интересно стало что он там налечил / удалял...

что было описано выше..

Добавлено спустя 2 минуты 34 секунды:

1. Вы неправы, про лечение залоченных файлов речи небыло - раз

2. Какраз там и написали что работа с залоченными файлами ограниченна только чтением а доспут на запись осуществляется штатными способами - два

3. АВ у вас спросил - "лечение невозможно" и 2 варианта - удалить или пропустить

4. Нашет симантека - это не ко мне Ж) Я тллько клоню к тому что чудо технолггии здесь совсем непричем.

что тут сумбур какой -то... вы это откуда взяли всё???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

С чего вдруг такой тон?

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

А кто оспаривает?

А ссылочку на другие ветки можно? Хоть почитаю...

А вобще я в этот топик пришел ввиду "наездов" на новые технологие, совершенно неверные между прочим.

Когда глючат аналитики - это одно Ж) Когда программа - совсем другое. И ненадо перемешивать Ж)

Собсно непонятки возникли из за отсутсвия информации.

В настройках стояло Лечить, не лечится - удалять? Тогда вопросов нету (Аналитики стормозили)

Если было - не лечится - спросить - тогда сами виноваты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

Вы имхо неправы, тестируется наличие фалсов на чистых файлах Ж) Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Накто не тестурует поведение системы при удалинее у нее файла (зараженного)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Еще как заражает, это необходимо с точки зрения контроля качества по стандарту ISO 9001 и все крупные вендоры это делают, а Trend Micro после случая о котором Вы говорите подходит к этому ох как серьезно, а Касперский ??? Что то я часто слышу о проблемах после его лечения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Что то мне слабо верится.. если апдейты некоторых вендеров просто грохают систему еще ничего непоймав Ж)

ИМХО - Вы неправы. В таком случае надо каждый вирус - запускать на кластере Ж) затем лечить.. затем проверять все ли работает. затем все восстанавливать и опять.....

Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Не совсем :D

В соответствии с требованиями стандарта, контроль качества технологии состоит в том, чтобы действие производимое определенным инструментом не могло причинить вреда при всех реально допустимых комбинациях факторов. Для этого естественно им приходится заражать все возможные варианты систем, в которых гарантируется работоспособность АВ продуктов и применять тестируемые методы лечения на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

Я вот как раз тоже об этом подумал. Скорее всего в случае с Trend Micro имеется ввиду проверка паттернов лечения/восстановления системы для DCS, им тут деваться некуда. Но на сколько я знаю, DCS вычищает далеко не все, так что о повальном тесте всего, что добавляется мне с трудом вериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

Сергей, косвенно это подтвержает длительность цикла Quality Assurance (QA) у Trend Micro. Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше), а вот Control Pattern Release (CPR) и OPR (Official Pattern Release) до 4-8 часов... После прохождения QA...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
так что о повальном тесте всего, что добавляется мне с трудом вериться.

И нам тоже, но это действительно так, убедились уже на опыте общения с АВ инженерами Trend Micro. А у нас с ними уже вполне доверительные отношения :)

Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше)

Совершенно верно, это тип патерна включает все уже оттестированные к данному моменту сигнатуры и "срочно" оттестированную проблемную сигнатуру, CPR включает только оттестированные сигнатуры, но он не распространяется автоматически так как не содержит срочных и критичных обновлений, OPR доступен для автоматического обновления и выпускается при вирусной эпидемии, при определенно большом накоплении новых сигнатур, но не реже чем раз в 22-26 часов. Так это происходит у Trend Micro.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Никто не тестирует поведение системы при удалении у нее файла (зараженного)

Откуда у вас такие сведения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Добавлено спустя 4 минуты 4 секунды:

А большое время тестирование неозначает ничего кроме как большого количества чистых файлов.. Касп успевает за час... а некоторые нет..

Но еще раз повторю - никто не тестирует на стабильность системы после удаления Ж) Давайте ради эксперемента вы пошлете sfc.dll из этого топика, но небудете их просить делать лечение (если сами решат - зделают)... После выхода апдейта мы посмотрим на результат Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

На моей памяти, это второй случай за всю историю Trend Micro. Принципиально, что это не ошибка инженера (которую никто не отрецает), а ошибка в самой системе качества. Почему-то неполадка с этим обновлением не была выявленна. Фокус в том, что Trend Micro крупная компания с огромным количеством крупных клиентов. Любой проступок становится известным широкой публике через прессу.

Добавлено спустя 3 минуты 21 секунду:

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

обращаю внимание, что sfc.dll из данной ветки - не есть заражённая DLL - это DLL с отключенной функциональностью. Повторяю это не вирус, максимум как можно было классифицировать как riskware.

Добавлено: Пн Апр 17, 2006 7:53 pm Заголовок сообщения:

Проверил я сейчас... но что-то непонял?!

17.04.2006 19 45 58 Файл: C:mansfc1sfc_чистаяsfc.dll ok проверен

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll не вылечен обработка отложена пользователем

17.04.2006 19 45 58 Файл: c:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll создана резервная копия

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll вылечен троянская программа

А эцп каспер тоже восстановил???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Забыл проверить (но имхо нет), но в любом случае эта дллка сама себя восстановит из кеша винды...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

Миша, здесь мы не спорим, что система качества существовала вопросов нет, однако именно после этого случая возникло понятие QA, процитирую известную тебе девушку (Алису)...

Sorry for not explaining you that. "under QA" means that the pattern file is

still in the QA prozess and QA comes from quality assurance. Since pattern

2.594.00 as we experienced grave performance issues we decided to elaborate

the quality assurance process for all our pattern file. The process enfolded

now not only detection of malware and false positive tests, it has also a lot

of quality tests regarded to product integration and active update download

(this is not applied to CPRs). Since we decided to provide high quality

pattern the detection speed goes down - and that because of the long timeр that

the whole QA process needs.

По всей видимости,исходя из слов Alice, тестировались не все паттерны, а выборочно, после этго несчастного 594-го паттерна, стали тестироваться все OPR-ки и CPR-ки (последние кроме деплоя). С другой стороны Trend стал активнее распостранять Bandage Pattern, при том если несколько месяцев назад AVSERVICE, сам принимал решение стоит выпускать Bandage или нет, то сейчас задает вопрос стоит "зажигать" по этому поводу или нет. (Или это уже репутация домена polikom.ru сказывется)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

Специфику вируса изучали?.. в dllкэше нет этой DLL!!!!!.. НАДО из сервис пака перезаписывать ручками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×