Symantec определяет в avp.exe трояна

[Александр Шабанов 120]

Александр, вероятность есть.

Я не в данном случае а в общих чертах:

у человека заражен ПК,продукт ЛК не справился с вирусом и т.д. и ПК не загружается или еще какая нибудь проблема, человек снимает HDD и подключает к другому ПК где стоит продукт Symantec или другого вендора- и начинает проверять диск. Результат всем известен. Благо,что файл с ЦП.

1) Опять же это проблема пользователя Symantec? Или же пользователя стороннего антивируса?

2) Это проблема контроля качества, причем некритичная, а не проблема для бизнеса.

3) Негатив вижу только в том, что вердикт был продублирован еще одним вендором.

Если уж следовать строго классификации

Чьей классификации? Единой я так понимаю нет, у каждого вендора своя.

[dan 10]

А что в этой новости такого критичного для пользователей продуктов Symantec?

Не думаю, что они поголовно устанавливают антивирус Касперского как доп. защиту, сдается мне что такая совместимость маловероятна.

Основная проблема подобных детектов, в том что они выходят во всех компонентах всех продуктов, а не только домашних продуктов.

К примеру, пользователь пытается скачать дистрибутив, на маршрутизаторе дистрибутив распаковывается и детектируется файл внутри дистрибутива.

Как результат у пользователя в принципе нет возможности скачать файл.

[Umnik 997]

Тему открываю, т.к. есть толковая, реальная ситуация, а не вымышленная. Если снова будут просто "тычки" и пустые возмущения, тема будет закрыта тут же.

[Кирилл Керценбаум 671]

Тему открываю, т.к. есть толковая, реальная ситуация, а не вымышленная. Если снова будут просто "тычки" и пустые возмущения, тема будет закрыта тут же.

Ну хорошо, продолжайте превращать Anti-Malware в помойку и место для выяснения отношений

[Skeptic 235]

Вот у меня папочка, KAV8. И файл avp.exe там остался. И стоит Norton 360. Специально просканил - чисто, никакого детекта. Кстати, с самого начала пользования 360 никакого детекта - уже 2 недели. Никому ничто не мешает.

Тема из разряда - удивительное рядом.

[Юрий Паршин 330]

Основная проблема подобных детектов, в том что они выходят во всех компонентах всех продуктов, а не только домашних продуктов.

К примеру, пользователь пытается скачать дистрибутив, на маршрутизаторе дистрибутив распаковывается и детектируется файл внутри дистрибутива.

Как результат у пользователя в принципе нет возможности скачать файл.

Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Кстати, последние сводки по детекту подписанного KidoKiller-а:

http://www.virustotal.com/ru/analisis/eef8...0f2b-1249493833

[Yen-Jasker 265]

3) Негатив вижу только в том, что вердикт был продублирован еще одним вендором.

Это проблема, тех кто использует антивирусы, которые не разбираясь тырят записи в чужих базах.

Но почему-то всем интереснее пообсуждать Симантек и его "неправильную классификацию зловредов".

[Yen-Jasker 265]

Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Его разрабам сообщили?

Почему на АМ попал не тот случай, когда проблема оправдана (кидокиллер могут ставить на компьютер с другим АВ), а обсуждаемый фолс, для демонстрации важности которого приходится привлекать редкий кейс с подключением зараженного винчестера к другому компьютеру? Домохозяйка так не сделает, опытный пользователь скорее воспользуется антивирусными утилитами с загрузочных CD (два компьютера и перестановка винчестеров - это экзотический случай), а если и обнаружит "трояна" в avp.exe то всего-лишь сообщит в ЛК и переустановит свой КИС.

Который все равно нужно переустановить, потому что если пришлось переносить винчестер, значит он сильно заражен и антивирус на нем скорее всего тоже поврежден.

Вобщем обсуждаемый детект не повредит пользователю КИС.

А может реакция эвристика сама по себе оправданная в обоих случаях и ее можно избежать только если заносить в белый список или не трогать файлы с ЦП?

Фактически кидокиллер - руткит, только "хороший". Поэтому если чья-то эвристика не него гавкает, то не значит что эвристика фолсит, а значит что у этого АВ кидокиллер не в белом списке и что у этого АВ нет функции пропуска файлов с ЦП.

Нет и все. И решить проблему можно только путем взаимного сотрудничества производителей АВ, чтобы подобные утилиты каждого производителя заносились всеми в белые списки.

Но почему-то этого не происходит, даже АВ из первой пятерки не могут между собой договориться.

А раздуванием проблемы на АМ ее не решить.

По-моему фанам и сотрудникам нужно работать в этом направлении - налаживать сотрудничество между производителями АВ, а не меряться у кого во лбу больше чугуния и у кого длиннее рейтинг, кто "лидер", а кто "середнячок".

[Кирилл Керценбаум 671]

Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Ладно, раз решили флудить, так флудим:

1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

2. Данный пример и обсуждаемый пример - это проблема не только тех кто детектит ошибочно, но и ЛК, которая видимо не сильно то старается обмениваться своим ПО для тестовых лабов других АВ компаний, чтобы таких ошибочных детектов не было, да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

3. И самое главное: пока, факта ложного детекта, кроме вашего примера, Юрий, лица в данном случае заинтересованного и уже не раз учавствовавшего в опускании продуктов Symantec, и соответственно доверия большинства не заслуживающего

Так что пока тема из разряда черного пиара и выливания очередной порции дерьма, лучше займитесь доработками своих продуктов, чтобы посетители абсолютно безопасных сайтов, не получали от ваших продуктов уведомлений о том, что сейчас произойдет катастрофа и их ПК будет заражен

[Юрий Паршин 330]

Его разрабам сообщили?

Почему на АМ попал не тот случай, когда проблема оправдана (кидокиллер могут ставить на компьютер с другим АВ), а обсуждаемый фолс, для демонстрации важности которого приходится привлекать редкий кейс с подключением зараженного винчестера к другому компьютеру? Домохозяйка так не сделает, опытный пользователь скорее воспользуется антивирусными утилитами с загрузочных CD (два компьютера и перестановка винчестеров - это экзотический случай), а если и обнаружит "трояна" в avp.exe то всего-лишь сообщит в ЛК и переустановит свой КИС.

Который все равно нужно переустановить, потому что если пришлось переносить винчестер, значит он сильно заражен и антивирус на нем скорее всего тоже поврежден.

Вобщем обсуждаемый детект не повредит пользователю КИС.

А может реакция эвристика сама по себе оправданная в обоих случаях и ее можно избежать только если заносить в белый список или не трогать файлы с ЦП?

Фактически кидокиллер - руткит, только "хороший". Поэтому если чья-то эвристика не него гавкает, то не значит что эвристика фолсит, а значит что у этого АВ кидокиллер не в белом списке и что у этого АВ нет функции пропуска файлов с ЦП.

Нет и все. И решить проблему можно только путем взаимного сотрудничества производителей АВ, чтобы подобные утилиты каждого производителя заносились всеми в белые списки.

Но почему-то этого не происходит, даже АВ из первой пятерки не могут между собой договориться.

А раздуванием проблемы на АМ ее не решить.

По-моему фанам и сотрудникам нужно работать в этом направлении - налаживать сотрудничество между производителями АВ, а не меряться у кого во лбу больше чугуния и у кого длиннее рейтинг, кто "лидер", а кто "середнячок".

В Trend Micro сообщили - через некоторое время они добавили хэш утилиты в белый список. Если утилиту просто пересобрать, то все так же будет фолсит.

Судя по названию их детекта ("Cryp_Xed-16") - это детект по паковщику (а не по поведению), что еще более весело, ведь KlavPack - наша внутренняя разработка и используем ее только мы.

Вобщем зря закрыли тему Sp0raw-а про "г-детекты" - все, написанное в этой теме, было бы отличным продолжением.

[Yen-Jasker 265]

Ладно, раз решили флудить, так флудим:

1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

2. Данный пример и обсуждаемый пример - это проблема не только тех кто детектит ошибочно, но и ЛК, которая видимо не сильно то старается обмениваться своим ПО для тестовых лабов других АВ компаний, чтобы таких ошибочных детектов не было, да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

3. И самое главное: пока, факта ложного детекта, кроме вашего примера, Юрий, лица в данном случае заинтересованного и уже не раз учавствовавшего в опускании продуктов Symantec, и соответственно доверия большинства не заслуживающего

Так что пока тема из разряда черного пиара и выливания очередной порции дерьма, лучше займитесь доработками своих продуктов, чтобы посетители абсолютно безопасных сайтов, не получали от ваших продуктов уведомлений о том, что сейчас произойдет катастрофа и их ПК будет заражен

Видел я форму для плучения подписи этого VeriSign, по-моему никакой проверки на вирусы там нет и файл не высылается им, и реальность предоставленных персональных данных пользователя проверить тяжело.

Поэтому если захотеть, то получить ЦП и подписать им зловреда - реально. Пусть домохозяйкам греет котелки история о том, что владелец такой подписи сразу сядет. Не сядет, потому что его сначала найти нужно и перед ним большая очередь вирмейкеров на посадку.

По поводу корявости написания софта ЛК в данном случае не согласен. Производитель АВ-софта по-моему не должен заморачиваться вопросом, как бы так зашифровать свой файл, чтобы его не детектили другие АВ. Это пустая трата ресурсов и ненужное усложнение кода. Эта проблема должна решаться не на компьютерах программеров, а открыто - путем взаимодействия производителей между собой и организации, при необходимости, белых списков.

И Юрия макать необязательно, метнув это самое в ответ ничего не решить.

А вы, Юрий, не подставляйтесь. Разжигание холиварчиков и пиарчиков - удел фанатов (определенному типу фанатов нечего терять и не к чему стремиться, кроме хозяйской благосклонности) и М. (работа такая у них, превозносить себя и макать конкурентов).

Тема про г...но-детекты открыта.

[Юрий Паршин 330]

да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

Ах вот кто виноват в фолсах! Это официальная позиция Symantec?

[Кирилл Керценбаум 671]

Но один вопрос остался - что же это за сборка - 8.0.0.521?

Специальная сборка, чтобы тему на АМ можно было открыть и пообсуждать какие все антивирусы Г, кроме тех что делает ЛК

Нет чтобы написать в Сумантек, они тут ссылки кидают на вирустотал

Так а такая задача видимо и не стояла у автора, главное еще одну помойку устроить и представить себя уборщиками и борцами за справедливость

[veritas 10]

Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Судя по названию их детекта ("Cryp_Xed-16") - это детект по паковщику (а не по поведению), что еще более весело, ведь KlavPack - наша внутренняя разработка и используем ее только мы.

На шлюзе совершенно правильный параноидальный подход, что нельзя распаковать или проверить - в карантин.

Если очень надо, то оттуда можно достать или другие способы найти как переслать, которых немало.

Отредактировал Август 5, 2009 veritas

[Yen-Jasker 265]

На шлюзе совершенно правильный параноидальный подход, что нельзя распаковать или проверить - в карантин.

Если очень надо, то оттуда можно достать или другие способы найти как переслать, которых немало.

Тут еще нужно разобраться, что это за фрукт такой, что ему шлюз помешал, что и где он собрался лечить без ведома админов шлюза.

А ЛК могла бы догадаться класть подобные утилиты в архив, защищенный стандартным паролем (типа "Kaspersky Lab" или подобное) - и решены все проблемы с любыми антивирусами провайдеров, которые могут встретится на пути от сервера ЛК к клиенту.

Если же шлюз режет все подряд, что нельзя проверить, значит это шлюз на каком-то предприятии, а в таких случаях нужно обращаться к админам предприятия.

[dan 10]

Было ли хоть одно обращение от пострадавших?

ЛК сообщила Симантек о том что есть такая проблема или сразу выкинули это на АМ?

Из-за чего весь шум - из-за глюка эвристика у продуктов Симантек? Так у ЛК тоже бывали такие проблемы.

Или это скрытый пиар на тему "а вот мы не трогаем файлы с ЦП, мы крутые, а Симантек попался потому что он середнячок"?

Именно после жалоб об этом и узнали.

Не только написали, но и в понедельник днём Питер Зор ответил что с проблемой разберутся.

Только что специально скачал файл - файл не запакован вообще.

Основной для меня смысл этой темы, это понять что же такое происходит в Симантеке.

В последнее время (пол года) в компании сильно поменялись взгляды на детект.

И провал последнего VB100 ещё сильнее меня убеждает в этом.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

[Yen-Jasker 265]

Именно после жалоб об этом и узнали.

Не только написали, но и в понедельник днём Питер Зор ответил что с проблемой разберутся.

Только что специально скачал файл - файл не запакован вообще.

Основной для меня смысл этой темы, это понять что же такое происходит в Симантеке.

В последнее время (пол года) в компании сильно поменялись взгляды на детект.

И провал последнего VB100 ещё сильнее меня убеждает в этом.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

Ваша идея по поводу подписей правильная. Пусть любой из лидеров рынка АВ займется этим, объявит мировой поход за функцию проверки и пропуска файлов с ЦП в каждом антивирусе.

Но почему-то это не делают.

Просто каждая дополнительная функция каждого АВ рассматривается не как плюс для клиента и как способ (немного поделившись технологиями с конкурентами или убедив их в своей правоте) сообща решить общую проблему борьбы с современными угрозами (ботнеты, *киты, вирусы-шантажисты) - а как конкурентное преимущество, которое должно обеспечить домохозяйским баблом только этого производителя (на затратах, само-собой, нужно постоянно экономить, а сроки сжимать донельзя), а все остальное - только красивые слова.

Читаешь всякие пиарные заявления и лозунги фанатов и становится смешно.

Пиар, пиар и еще раз пиар, у каждого производителя на зарплате сидят особенные люди, которые заняты пиаром и полосканием мозгов пользователям и фанатам, это не плохо и не хорошо, это просто реальность.

Плохо когда из-за пиара господ (которые друг-другу совсем не враги и всегда договорятся) простые пользователи и сотрудники добровольно начинают поливать друг-друга грязью.

[Vadim Fedorov 255]

Именно после жалоб об этом и узнали.

Так как какая-либо информация о файле предоставлена не была, возникают вполне закономерные вопросы:

1. Что же это все-таки за файл, и в какой версии продуктов Kaspersky он используется ?

2. От пользователей каких продуктов Symantec поступили вышеупомянутые жалобы ?

[Юрий Паршин 330]

Вряд ли, скорее это сборка для китайцев или еще для кого-нибудь. Но странно что никто из ЛК не хочет прояснить ситуацию, рассказав что это за сборка.

Обычная русская 8.0.0.506 после применения автопатчей (то есть после обычного обновления антивируса после установки) превращается в 8.0.0.521. См. прилагаемый скриншот:

[Umnik 997]

1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

[Yen-Jasker 265]

Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

Может хватит подначивать, а? Только 8-ка и 9-ка от ЛК научились пропускать файлы с ЦП, а например 7-ка с svchost натворила дел.

[Umnik 997]

Yen-Jasker

Это вопрос, касающийся ЭЦП, а не подначка. Ведь изначально, с самого первого поста был уклон на ЭЦП.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

Как поведет себя KIS, если сфолсит на NIS и если файл будет подписан?

[Vadim Fedorov 255]

Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

Umnik, Вы пробовали, например, принудительно поместить в карантин продуктов Norton 2009 системный файл ?

Если Ваш ответ нет, то предлагаю попробовать

[spw 190]

Тут еще нужно разобраться, что это за фрукт такой, что ему шлюз помешал, что и где он собрался лечить без ведома админов шлюза.

А ЛК могла бы догадаться класть подобные утилиты в архив, защищенный стандартным паролем (типа "Kaspersky Lab" или подобное) - и решены все проблемы с любыми антивирусами провайдеров, которые могут встретится на пути от сервера ЛК к клиенту.

Если же шлюз режет все подряд, что нельзя проверить, значит это шлюз на каком-то предприятии, а в таких случаях нужно обращаться к админам предприятия.

На это есть еще более умные антивирусы (из разряда цыг-ан-тивирусов, но не обязательно они), которые, например, все запароленные архивы могут считать крайне опасными. И так же запрещать их прохождение (в общем трафике или по почте - в зависимости от того, что за продукт).

Отредактировал Август 8, 2009 Sp0Raw

[Yen-Jasker 265]

На это есть еще более умные антивирусы (из разряда цыг-ан-тивирусов, но не обязательно они), которые, например, все запароленные архивы могут считать крайне опасными. И так же запрещать их прохождение (в общем трафике или по почте - в зависимости от того, что за продукт).

Политика "резать все что кажется подозрительным" подойдет для предприятий. Там софт должен ставить админ, а пользователи не должны ничего такого ставить и качать.

Для всех остальных конечно она не годится.