Symantec Antivirus 10 лепит ложный срабатывания

[broker 30]

куда писать? звонить ????

[Кирилл Керценбаум 671]

broker

А в чем конкретно проблема?

А вообще если есть gold support, то идити сюда:

https://mysupport.symantec.com/

или звонить сюда:

+7 495 641-2291

[broker 30]

MySupport Application Error

The MySupport application has encountered a program error. You can either try again or contact Symantec Technical Services

Thank you for your patience.

это по данному адресу

[Кирилл Керценбаум 671]

broker

Есть такая бага, если не активирован новый тип аккаунта, нужно написать сюда для решения проблемы Support Contracts EMEA <semea@symantec.com> с указанием текущего Contact ID.

[broker 30]

а суть проблемы такова

создаём на дельфи любую библиотеку

library body;

uses

SysUtils,

Classes,

body_body in 'body_body.pas';

{$R *.res}

begin

end.

unit body_body;

interface

uses Classes, windows, sysutils;

implementation

end.

имеем dll

проверяем её Symantec 10.x

Spyware.SniperSPY

Добавлено спустя 35 минут 58 секунд:

dll

Добавлено спустя 54 секунды:

Contact ID

а как его получить?

body.rar

body.rar

[Кирилл Керценбаум 671]

а как его получить?

Для этого нужна лицензия на любой продукт Symantec, в который входит Gold Support, и тогда дается учетная запись для сайта поддержки, причем если раньше при открытии кейса можно было выбрать лишь те продукты, на которые у тебя есть лицензии, то теперь запрос можно окрывать по любому продукту.

Попробую разместить запрос через свой аккаунт. Итак, будем считать это False Alarm?

[broker 30]

Кирилл Керценбаум

Итак, будем считать это False Alarm?

ДА СПАСИБО

Кирилл Керценбаум

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Представительство Семантик у нас, мягко сказать пока молчит.

[Кирилл Керценбаум 671]

ДА СПАСИБО

Итак, так как у меня нет возможности проверить самому, так как стоит Trend Micro и неохота накатывать Symantec, нужна подробная информация: продукт, версия АВ баз, как определяется

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Есть хоть одна действующая лицензия на продукты Symantec?

Добавлено спустя 34 минуты 56 секунд:

broker

удалось смоделировать на Mail Security for SMTP вот с таким результатом: spyware.sniperspy, отсылаю в Symantec с повышенным приоритетом, ждем от них ответа.

Sav 10

Итак в лицензиях должны были быть два ключа для активации для каждого продукта, b*********, один из них для Gold Support, необходимо его зарегистрировать на сайте

https://licensing.symantec.com/

и после этого на указанный e-mail должна придти информация об аккаунте для Symantec MySupport

[Кирилл Керценбаум 671]

Кстати, для всех интересующихся. Для размещения неопределяющегося файла или ложного срабатывания продуктов Symantec можно обратиться по ссылке:

https://submit.symantec.com/gold/

[broker 30]

спасибо, я думаю к карме ещё орден надо дать за грамотность ответов и осведомлённость в своей области.

:thanks:

[Кирилл Керценбаум 671]

Итак, все оперативно исправлено (я даже сам не ожидал такой скорости):

We have analyzed your submission. The following is a report of our

findings for each file you have submitted:

filename: body.zip

machine: Machine

result: This file is clean

filename: body.dll

machine: Machine

result: NAV is falsely identifying this file as a virus

Developer notes:

body.zip is an archive that only contains clean files.

body.dll is falsely identified as malicious. To fix this problem, please follow the instruction at the end of this email message to install the latest available definitions. Then, restore this file from NAV Quarantine. This file is contained by body.zip

The sample(s) that you provided are not infected with a virus, worm, or Trojan, and do not contain malicious code. It appears to be a false identification. To solve the false identification problem, please follow the instruction at the end of this email message to download and install the latest RapidRelease definitions.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

Downloading and Installing RapidRelease Definitions:

1. Open your Web browser. If you are using a dial-up connection, connect to any Web site, such as: http://securityresponse.symantec.com/

2. Copy and paste the address ftp://ftp.symantec.com/public/english_us_...lease/sequence/ into the address bar of your Web browser and then press Enter.(this could take a minute or so if you have a slow connection)

3. Now select 56208 folder or a higher. Open the folder.

4. Select the file symrapidreleasedefsx86.exe

5. When a download dialog box appears, save the file to the Windows desktop.

6. Double-click the downloaded file and follow the prompts.

Virus definition detail:

Sequence Number: 56208

Defs Version: 80711s

Extended Version: 07/11/2006 rev.19

Добавлено спустя 8 минут 2 секунды:

Для Symantec Mail Security последних версий, если настроено автоматическое получение RapidRelease данные действия применять не нужно.

[broker 30]

надо отдать должное тому, что семантик это делает в автоматическом режиме.

[Кирилл Керценбаум 671]

надо отдать должное тому, что семантик это делает в автоматическом режиме

Что конкретно?

[broker 30]

обрабатывают подозрительные файлы

[Dmitry Perets 30]

На самом деле надо отдать должное за скорость реакции. Мне, как нелюбителю Symantec, было интересно увидеть, что Gold Support всё же обеспечивает должный сервис, судя по данному кейсу.

[Кирилл Керценбаум 671]

Dmitry Perets

Что касается временных характеристик, то они следующие:

Case в службе Gold Support открыт 11 июля в 11:10, 11 июля в 17:50 поступил ответ с укзанием url куда можно отсылать подозрительные файлы, при этом приоритет кейса был 2 из 3.

В Security Response Case был открыт 11 июля в 18:20, 11 июля в 19:45 пришел ответ о коррекции ложного срабатывания и уже был выпущен обновленный паттерн.

Итак, время реакции: 8 часов, однако в данных ситуациях Case в Gold Support можно не открывать, а сразу обращаться в Security Response, итого срок реакции: 1 час 25 минут.

Честно говоря, наверное данные сроки можно считать более чем качественными, по опыту Trend Micro AV Service реагирует (выдает окончательное решение) в среднем за 5-6 часов

[Phoenix 0]

Аналогично для KAV:

13 июля в 9-36 послано письмо на newvirus@kaspersky.com о ложном срабатывании (файлы другие).

13 июля в 10-52 закачены исправленные базы.

Время реакции: 1 час 16 минут, но возможно, что исправленная база была выпущена немного раньше...

[Кирилл Керценбаум 671]

Phoenix

По скорости реакции с Касперским почти никто конкурировать не может, но вот качество этой реакции не всегда бывает на высоте

[Dmitry Perets 30]

Не, про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят. Ещё ни разу не было задержки больше, чем на пару часов с момента отправки мною чего-либо на newvirus до момента их реакции. Это я считаю уже со временем, которое прошло до того, как я апдейт скачал... Просто меня насчёт Symantec сомнения мучали. Но видимо, в корпоративном секторе у них с этим всё ОК.

[Кирилл Керценбаум 671]

Итак, в продолжении темы реакция Trend Micro:

20 июля в 13-58 открыт Case в Trend Micro AV-Service о ложном срабатывании на dll от Remote Admin 2.1 (Trojan-Generic), в результате чего нарушалась работа софта и была необходима его переустановка.

20 июля в 14-16 запрошен образец файла.

20 июля в 18-48 получен так называемый Bandage Pattern, доступный только по запросу.

Время реакции: 4 часа 32 минуты, но исправленная база выпущена только специально под клиента, к общему доступу не доступна ни в каком виде, что не избавляет от проблем других пользователей.

Не очень хорошие результаты с учетом важности и критичности проблемы.

[Dexter 20]

Phoenix

Аналогично для KAV:

Dmitry Perets

про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят.

Не в порядке святой войны, но в порядке справедливости.

Проверьте Дохтура©

Тоже всё в порядке, причём очень давно, причём часто быстрее ЛК, при этом, IMHO, качественней.

Кирилл Керценбаум

исправленная база выпущена только специально под клиента

Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Не очень хорошие результаты с учетом важности

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

[Кирилл Керценбаум 671]

Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Будем считать это осторожность вдвойне, правда еще через 30 минут видимо оценив проблему Trend Micro уже выпустило официальное обновление, то есть спустя 5 часов

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

Все зависит от правильности оценки критичности ситуации аналитиками АВ вендора, в данном случае когда у клиента установлено ПО на 1000 хостах, а антивирус пытается удалить его как вирус и при этом нарушается работоспособность системы контроля, реакция должна быть более оперативная

[Dexter 20]

в данном случае когда у клиента установлено ПО на 1000 хостах

Н-да, это достаточно серьёзно.

А если говорить вообще, у импортных вендоров начало возникать осознание необходимости более оперативной реакции на свежие угрозы, включая и частных клиентов?

Ничего не могу сказать про Trend (но предполагаю, что и он), но те же симантек,макафи очень вяло реагируют на обыкновенные трояны и адвари, отправленные частным лицом.

Panda в последнее время немного поднялась в этом смысле, по личному ощущению.

Причём, что примечательно именно лидеры более вялы, чем другие.

Понятно, что крупная контора, бюрократия и т.д.

Или они оперативно не реагируют по каким-то другим своим причинам?

[Кирилл Керценбаум 671]

Н-да, это достаточно серьёзно.

Главное чтобы у АВ компании правильно была выстроена система приоритезации задач обслуживания клиентов для минимизациия негативных последствий, а ошибаться могут все, даже крупные АВ компании