Symantec Antivirus 10 лепит ложный срабатывания - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
broker

Symantec Antivirus 10 лепит ложный срабатывания

Recommended Posts

broker

куда писать? звонить ????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

broker

А в чем конкретно проблема?

А вообще если есть gold support, то идити сюда:

https://mysupport.symantec.com/

или звонить сюда:

+7 495 641-2291

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

MySupport Application Error

The MySupport application has encountered a program error. You can either try again or contact Symantec Technical Services

Thank you for your patience.

это по данному адресу :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

broker

Есть такая бага, если не активирован новый тип аккаунта, нужно написать сюда для решения проблемы Support Contracts EMEA <semea@symantec.com> с указанием текущего Contact ID.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

а суть проблемы такова

создаём на дельфи любую библиотеку

library body;

uses

SysUtils,

Classes,

body_body in 'body_body.pas';

{$R *.res}

begin

end.

unit body_body;

interface

uses Classes, windows, sysutils;

implementation

end.

имеем dll

проверяем её Symantec 10.x

Spyware.SniperSPY

Добавлено спустя 35 минут 58 секунд:

dll

Добавлено спустя 54 секунды:

Contact ID

а как его получить?

body.rar

body.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
а как его получить?

Для этого нужна лицензия на любой продукт Symantec, в который входит Gold Support, и тогда дается учетная запись для сайта поддержки, причем если раньше при открытии кейса можно было выбрать лишь те продукты, на которые у тебя есть лицензии, то теперь запрос можно окрывать по любому продукту.

Попробую разместить запрос через свой аккаунт. Итак, будем считать это False Alarm?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

Итак, будем считать это False Alarm?

ДА СПАСИБО

Кирилл Керценбаум

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Представительство Семантик у нас, мягко сказать пока молчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
ДА СПАСИБО

Итак, так как у меня нет возможности проверить самому, так как стоит Trend Micro и неохота накатывать Symantec, нужна подробная информация: продукт, версия АВ баз, как определяется

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Есть хоть одна действующая лицензия на продукты Symantec?

Добавлено спустя 34 минуты 56 секунд:

broker

удалось смоделировать на Mail Security for SMTP вот с таким результатом: spyware.sniperspy, отсылаю в Symantec с повышенным приоритетом, ждем от них ответа.

Sav 10

Итак в лицензиях должны были быть два ключа для активации для каждого продукта, b*********, один из них для Gold Support, необходимо его зарегистрировать на сайте

https://licensing.symantec.com/

и после этого на указанный e-mail должна придти информация об аккаунте для Symantec MySupport

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Кстати, для всех интересующихся. Для размещения неопределяющегося файла или ложного срабатывания продуктов Symantec можно обратиться по ссылке:

https://submit.symantec.com/gold/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

спасибо, я думаю к карме ещё орден надо дать за грамотность ответов и осведомлённость в своей области.

:thanks:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, все оперативно исправлено (я даже сам не ожидал такой скорости):

We have analyzed your submission. The following is a report of our

findings for each file you have submitted:

filename: body.zip

machine: Machine

result: This file is clean

filename: body.dll

machine: Machine

result: NAV is falsely identifying this file as a virus

Developer notes:

body.zip is an archive that only contains clean files.

body.dll is falsely identified as malicious. To fix this problem, please follow the instruction at the end of this email message to install the latest available definitions. Then, restore this file from NAV Quarantine. This file is contained by body.zip

The sample(s) that you provided are not infected with a virus, worm, or Trojan, and do not contain malicious code. It appears to be a false identification. To solve the false identification problem, please follow the instruction at the end of this email message to download and install the latest RapidRelease definitions.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

Downloading and Installing RapidRelease Definitions:

1. Open your Web browser. If you are using a dial-up connection, connect to any Web site, such as: http://securityresponse.symantec.com/

2. Copy and paste the address ftp://ftp.symantec.com/public/english_us_...lease/sequence/ into the address bar of your Web browser and then press Enter.(this could take a minute or so if you have a slow connection)

3. Now select 56208 folder or a higher. Open the folder.

4. Select the file symrapidreleasedefsx86.exe

5. When a download dialog box appears, save the file to the Windows desktop.

6. Double-click the downloaded file and follow the prompts.

Virus definition detail:

Sequence Number: 56208

Defs Version: 80711s

Extended Version: 07/11/2006 rev.19

Добавлено спустя 8 минут 2 секунды:

Для Symantec Mail Security последних версий, если настроено автоматическое получение RapidRelease данные действия применять не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

надо отдать должное тому, что семантик это делает в автоматическом режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
надо отдать должное тому, что семантик это делает в автоматическом режиме

Что конкретно? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

обрабатывают подозрительные файлы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

На самом деле надо отдать должное за скорость реакции. Мне, как нелюбителю Symantec, было интересно увидеть, что Gold Support всё же обеспечивает должный сервис, судя по данному кейсу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Dmitry Perets

Что касается временных характеристик, то они следующие:

Case в службе Gold Support открыт 11 июля в 11:10, 11 июля в 17:50 поступил ответ с укзанием url куда можно отсылать подозрительные файлы, при этом приоритет кейса был 2 из 3.

В Security Response Case был открыт 11 июля в 18:20, 11 июля в 19:45 пришел ответ о коррекции ложного срабатывания и уже был выпущен обновленный паттерн.

Итак, время реакции: 8 часов, однако в данных ситуациях Case в Gold Support можно не открывать, а сразу обращаться в Security Response, итого срок реакции: 1 час 25 минут.

Честно говоря, наверное данные сроки можно считать более чем качественными, по опыту Trend Micro AV Service реагирует (выдает окончательное решение) в среднем за 5-6 часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Аналогично для KAV:

13 июля в 9-36 послано письмо на newvirus@kaspersky.com о ложном срабатывании (файлы другие).

13 июля в 10-52 закачены исправленные базы.

Время реакции: 1 час 16 минут, но возможно, что исправленная база была выпущена немного раньше...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Phoenix

По скорости реакции с Касперским почти никто конкурировать не может, но вот качество этой реакции не всегда бывает на высоте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Не, про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят. Ещё ни разу не было задержки больше, чем на пару часов с момента отправки мною чего-либо на newvirus до момента их реакции. Это я считаю уже со временем, которое прошло до того, как я апдейт скачал... Просто меня насчёт Symantec сомнения мучали. Но видимо, в корпоративном секторе у них с этим всё ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, в продолжении темы реакция Trend Micro:

20 июля в 13-58 открыт Case в Trend Micro AV-Service о ложном срабатывании на dll от Remote Admin 2.1 (Trojan-Generic), в результате чего нарушалась работа софта и была необходима его переустановка.

20 июля в 14-16 запрошен образец файла.

20 июля в 18-48 получен так называемый Bandage Pattern, доступный только по запросу.

Время реакции: 4 часа 32 минуты, но исправленная база выпущена только специально под клиента, к общему доступу не доступна ни в каком виде, что не избавляет от проблем других пользователей.

Не очень хорошие результаты с учетом важности и критичности проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Phoenix
Аналогично для KAV:

Dmitry Perets

про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят.

Не в порядке святой войны, но в порядке справедливости. :)

Проверьте Дохтура© :)

Тоже всё в порядке, причём очень давно, причём часто быстрее ЛК, при этом, IMHO, качественней.

Кирилл Керценбаум
исправленная база выпущена только специально под клиента

Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Не очень хорошие результаты с учетом важности

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Будем считать это осторожность вдвойне, правда еще через 30 минут видимо оценив проблему Trend Micro уже выпустило официальное обновление, то есть спустя 5 часов

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

Все зависит от правильности оценки критичности ситуации аналитиками АВ вендора, в данном случае когда у клиента установлено ПО на 1000 хостах, а антивирус пытается удалить его как вирус и при этом нарушается работоспособность системы контроля, реакция должна быть более оперативная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
в данном случае когда у клиента установлено ПО на 1000 хостах

Н-да, это достаточно серьёзно.

А если говорить вообще, у импортных вендоров начало возникать осознание необходимости более оперативной реакции на свежие угрозы, включая и частных клиентов?

Ничего не могу сказать про Trend (но предполагаю, что и он), но те же симантек,макафи очень вяло реагируют на обыкновенные трояны и адвари, отправленные частным лицом.

Panda в последнее время немного поднялась в этом смысле, по личному ощущению.

Причём, что примечательно именно лидеры более вялы, чем другие.

Понятно, что крупная контора, бюрократия и т.д.

Или они оперативно не реагируют по каким-то другим своим причинам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Н-да, это достаточно серьёзно.

Главное чтобы у АВ компании правильно была выстроена система приоритезации задач обслуживания клиентов для минимизациия негативных последствий, а ошибаться могут все, даже крупные АВ компании

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Год от года фактически постоянно можно наблюдать ... такого рода записи C:\ProgramData\Google\Chrome\updater.exe PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE APPDATA\LOCAL\360EXTREMEBROWSER\CHROME C:\ProgramData\Google\Chrome\helper.exe Предлагаю все записи где фигурирует Chrome - добавить  к Категории: Chromium-based Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.  
    • PR55.RP55
      Добавить в меню команду: Удалить записи\сетевые адреса соответствующие поисковому запросу. * В списке может быть 10-20 записей\ссылок на левые сайты. Создавать критерии, не всегда нужно\выгодно... А отдавать команды по каждой ссылке большой расход времени и нервов.  
    • demkd
      Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. ---------------------------------------------------------
       5.0.RC2
      ---------------------------------------------------------
       o При обнаружении внедренного потока в процессе в лог печатается точное
         время создания потока и ТОП 10 наиболее вероятных виновников.
         (!) Только для потоков не имеющих привязки к DLL.
         (!) Функция требует активного отслеживания процессов. (Твик #39)

       o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
         Теперь выбирается не логический номер монитора, а его порядковый номер,
         что позволяет избежать проблем при обновлении драйверов на видеокарту
         без закрытия окна удаленного рабочего стола.

       o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
         на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
         настройкам системы и системным утилитам.
         Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

       
    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
×