Ложное/правильное срабатывание

[broker 30]

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

проблема с сецефой возникла примерно 1 декабря, и фактически была закончена 1 декабря!!! НО сама dll осталась и только в феврале 6 каспер это всё натворил.. В том же феврале и тема была создана и вендору вся информация была предоставлена.. Странно было бы, если БЫ ЗА 2 месяца ничего не изменилось!!!

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

БСОД - был специфический глюк? Или покажите логи - интересно стало что он там налечил / удалял...

что было описано выше..

Добавлено спустя 2 минуты 34 секунды:

1. Вы неправы, про лечение залоченных файлов речи небыло - раз

2. Какраз там и написали что работа с залоченными файлами ограниченна только чтением а доспут на запись осуществляется штатными способами - два

3. АВ у вас спросил - "лечение невозможно" и 2 варианта - удалить или пропустить

4. Нашет симантека - это не ко мне Ж) Я тллько клоню к тому что чудо технолггии здесь совсем непричем.

что тут сумбур какой -то... вы это откуда взяли всё???

[TiX 0]

обратите внимание УВАЖАЕМЫЙ[ b]TiX[/b]

С чего вдруг такой тон?

НО ФАКТ!!! остаётся фактом.. В других ветках этого форума я обсуждал эту проблему с представителем вендора.

А кто оспаривает?

А ссылочку на другие ветки можно? Хоть почитаю...

А вобще я в этот топик пришел ввиду "наездов" на новые технологие, совершенно неверные между прочим.

Когда глючат аналитики - это одно Ж) Когда программа - совсем другое. И ненадо перемешивать Ж)

Собсно непонятки возникли из за отсутсвия информации.

В настройках стояло Лечить, не лечится - удалять? Тогда вопросов нету (Аналитики стормозили)

Если было - не лечится - спросить - тогда сами виноваты.

[Михаил Кондрашин 55]

Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

[TiX 0]

Ну так детект то верный, а к чему приведет удалеие такого файла на системе - обычно не тестируется.. Ж(

Еще как тестируется! На огромном кластере из разнообразных машин. (Это я про Trend Micro).

Вы имхо неправы, тестируется наличие фалсов на чистых файлах Ж) Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Накто не тестурует поведение системы при удалинее у нее файла (зараженного)

[Кирилл Керценбаум 671]

Но никто не заражает файлы системы и не пускает по ним АВ чтобы проверить коррекность лечения для системы - раз.

Еще как заражает, это необходимо с точки зрения контроля качества по стандарту ISO 9001 и все крупные вендоры это делают, а Trend Micro после случая о котором Вы говорите подходит к этому ох как серьезно, а Касперский ??? Что то я часто слышу о проблемах после его лечения...

[Сергей Ильин 1538]

Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

[TiX 0]

Что то мне слабо верится.. если апдейты некоторых вендеров просто грохают систему еще ничего непоймав Ж)

ИМХО - Вы неправы. В таком случае надо каждый вирус - запускать на кластере Ж) затем лечить.. затем проверять все ли работает. затем все восстанавливать и опять.....

Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

[Кирилл Керценбаум 671]

Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Не совсем

В соответствии с требованиями стандарта, контроль качества технологии состоит в том, чтобы действие производимое определенным инструментом не могло причинить вреда при всех реально допустимых комбинациях факторов. Для этого естественно им приходится заражать все возможные варианты систем, в которых гарантируется работоспособность АВ продуктов и применять тестируемые методы лечения на них.

[Сергей Ильин 1538]

Если в день детектят 200 экземпляров Ж) То это просто нереально. И ненадо говорить что это относится только к файловым вирусам Ж) Ибо сейчас файлы патчат и бекдоры и боты.

Я вот как раз тоже об этом подумал. Скорее всего в случае с Trend Micro имеется ввиду проверка паттернов лечения/восстановления системы для DCS, им тут деваться некуда. Но на сколько я знаю, DCS вычищает далеко не все, так что о повальном тесте всего, что добавляется мне с трудом вериться.

[Михаил Орешин 70]

Т.е. вы хотите сказать, что по ISO положено заражать систему, а потом ее лечить? А в каком именно стандарте это указано, где вы это нашли?

Поделитесь инфой плиз, очень мне эта тема интересна.

Сергей, косвенно это подтвержает длительность цикла Quality Assurance (QA) у Trend Micro. Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше), а вот Control Pattern Release (CPR) и OPR (Official Pattern Release) до 4-8 часов... После прохождения QA...

[Кирилл Керценбаум 671]

так что о повальном тесте всего, что добавляется мне с трудом вериться.

И нам тоже, но это действительно так, убедились уже на опыте общения с АВ инженерами Trend Micro. А у нас с ними уже вполне доверительные отношения

Bandage Pattern Release, AVSERVICE Trend Micro по запросу и значимости, предоставляет в течение часа-двух (были случаи когда даже меньше)

Совершенно верно, это тип патерна включает все уже оттестированные к данному моменту сигнатуры и "срочно" оттестированную проблемную сигнатуру, CPR включает только оттестированные сигнатуры, но он не распространяется автоматически так как не содержит срочных и критичных обновлений, OPR доступен для автоматического обновления и выпускается при вирусной эпидемии, при определенно большом накоплении новых сигнатур, но не реже чем раз в 22-26 часов. Так это происходит у Trend Micro.

[Михаил Кондрашин 55]

Никто не тестирует поведение системы при удалении у нее файла (зараженного)

Откуда у вас такие сведения?

[TiX 0]

Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Добавлено спустя 4 минуты 4 секунды:

А большое время тестирование неозначает ничего кроме как большого количества чистых файлов.. Касп успевает за час... а некоторые нет..

Но еще раз повторю - никто не тестирует на стабильность системы после удаления Ж) Давайте ради эксперемента вы пошлете sfc.dll из этого топика, но небудете их просить делать лечение (если сами решат - зделают)... После выхода апдейта мы посмотрим на результат Ж)

[Михаил Орешин 70]

Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

[Михаил Кондрашин 55]

Думаю это http://www.securitylab.ru/news/215360.php доказывает обратное Ж)

На моей памяти, это второй случай за всю историю Trend Micro. Принципиально, что это не ошибка инженера (которую никто не отрецает), а ошибка в самой системе качества. Почему-то неполадка с этим обновлением не была выявленна. Фокус в том, что Trend Micro крупная компания с огромным количеством крупных клиентов. Любой проступок становится известным широкой публике через прессу.

Добавлено спустя 3 минуты 21 секунду:

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

[broker 30]

обращаю внимание, что sfc.dll из данной ветки - не есть заражённая DLL - это DLL с отключенной функциональностью. Повторяю это не вирус, максимум как можно было классифицировать как riskware.

Добавлено: Пн Апр 17, 2006 7:53 pm Заголовок сообщения:

Проверил я сейчас... но что-то непонял?!

17.04.2006 19 45 58 Файл: C:mansfc1sfc_чистаяsfc.dll ok проверен

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 45 58 Файл: C:mansfc1sfc_грязнаяsfc.dll не вылечен обработка отложена пользователем

17.04.2006 19 45 58 Файл: c:mansfc1sfc_грязнаяsfc.dll обнаружено: троянская программа Trojan-Spy.Win32.Banker.alr

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll создана резервная копия

17.04.2006 19 46 05 Файл: c:mansfc1sfc_грязнаяsfc.dll вылечен троянская программа

А эцп каспер тоже восстановил???

[TiX 0]

Забыл проверить (но имхо нет), но в любом случае эта дллка сама себя восстановит из кеша винды...

[Михаил Орешин 70]

Наоборот, именно после прошлогоднего сбоя, была изменена схема работы QA

Система качества существовала и до этот инцидента. В своих пояснениях Trend Micro нигде не описала, почему такое случилось. Уверен, QA улучшили, но по этому поводу тоже ничего не известно.

Миша, здесь мы не спорим, что система качества существовала вопросов нет, однако именно после этого случая возникло понятие QA, процитирую известную тебе девушку (Алису)...

Sorry for not explaining you that. "under QA" means that the pattern file is

still in the QA prozess and QA comes from quality assurance. Since pattern

2.594.00 as we experienced grave performance issues we decided to elaborate

the quality assurance process for all our pattern file. The process enfolded

now not only detection of malware and false positive tests, it has also a lot

of quality tests regarded to product integration and active update download

(this is not applied to CPRs). Since we decided to provide high quality

pattern the detection speed goes down - and that because of the long timeр that

the whole QA process needs.

По всей видимости,исходя из слов Alice, тестировались не все паттерны, а выборочно, после этго несчастного 594-го паттерна, стали тестироваться все OPR-ки и CPR-ки (последние кроме деплоя). С другой стороны Trend стал активнее распостранять Bandage Pattern, при том если несколько месяцев назад AVSERVICE, сам принимал решение стоит выпускать Bandage или нет, то сейчас задает вопрос стоит "зажигать" по этому поводу или нет. (Или это уже репутация домена polikom.ru сказывется)

[broker 30]

TiX

Специфику вируса изучали?.. в dllкэше нет этой DLL!!!!!.. НАДО из сервис пака перезаписывать ручками.