Перейти к содержанию
broker

Symantec Antivirus 10 лепит ложный срабатывания

Recommended Posts

broker

куда писать? звонить ????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

broker

А в чем конкретно проблема?

А вообще если есть gold support, то идити сюда:

https://mysupport.symantec.com/

или звонить сюда:

+7 495 641-2291

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

MySupport Application Error

The MySupport application has encountered a program error. You can either try again or contact Symantec Technical Services

Thank you for your patience.

это по данному адресу :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

broker

Есть такая бага, если не активирован новый тип аккаунта, нужно написать сюда для решения проблемы Support Contracts EMEA <semea@symantec.com> с указанием текущего Contact ID.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

а суть проблемы такова

создаём на дельфи любую библиотеку

library body;

uses

SysUtils,

Classes,

body_body in 'body_body.pas';

{$R *.res}

begin

end.

unit body_body;

interface

uses Classes, windows, sysutils;

implementation

end.

имеем dll

проверяем её Symantec 10.x

Spyware.SniperSPY

Добавлено спустя 35 минут 58 секунд:

dll

Добавлено спустя 54 секунды:

Contact ID

а как его получить?

body.rar

body.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
а как его получить?

Для этого нужна лицензия на любой продукт Symantec, в который входит Gold Support, и тогда дается учетная запись для сайта поддержки, причем если раньше при открытии кейса можно было выбрать лишь те продукты, на которые у тебя есть лицензии, то теперь запрос можно окрывать по любому продукту.

Попробую разместить запрос через свой аккаунт. Итак, будем считать это False Alarm?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

Итак, будем считать это False Alarm?

ДА СПАСИБО

Кирилл Керценбаум

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Представительство Семантик у нас, мягко сказать пока молчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
ДА СПАСИБО

Итак, так как у меня нет возможности проверить самому, так как стоит Trend Micro и неохота накатывать Symantec, нужна подробная информация: продукт, версия АВ баз, как определяется

не совсем понятно как получить Contact ID (по возможности нужна последовательность действий)

Есть хоть одна действующая лицензия на продукты Symantec?

Добавлено спустя 34 минуты 56 секунд:

broker

удалось смоделировать на Mail Security for SMTP вот с таким результатом: spyware.sniperspy, отсылаю в Symantec с повышенным приоритетом, ждем от них ответа.

Sav 10

Итак в лицензиях должны были быть два ключа для активации для каждого продукта, b*********, один из них для Gold Support, необходимо его зарегистрировать на сайте

https://licensing.symantec.com/

и после этого на указанный e-mail должна придти информация об аккаунте для Symantec MySupport

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Кстати, для всех интересующихся. Для размещения неопределяющегося файла или ложного срабатывания продуктов Symantec можно обратиться по ссылке:

https://submit.symantec.com/gold/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

спасибо, я думаю к карме ещё орден надо дать за грамотность ответов и осведомлённость в своей области.

:thanks:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, все оперативно исправлено (я даже сам не ожидал такой скорости):

We have analyzed your submission. The following is a report of our

findings for each file you have submitted:

filename: body.zip

machine: Machine

result: This file is clean

filename: body.dll

machine: Machine

result: NAV is falsely identifying this file as a virus

Developer notes:

body.zip is an archive that only contains clean files.

body.dll is falsely identified as malicious. To fix this problem, please follow the instruction at the end of this email message to install the latest available definitions. Then, restore this file from NAV Quarantine. This file is contained by body.zip

The sample(s) that you provided are not infected with a virus, worm, or Trojan, and do not contain malicious code. It appears to be a false identification. To solve the false identification problem, please follow the instruction at the end of this email message to download and install the latest RapidRelease definitions.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

Downloading and Installing RapidRelease Definitions:

1. Open your Web browser. If you are using a dial-up connection, connect to any Web site, such as: http://securityresponse.symantec.com/

2. Copy and paste the address ftp://ftp.symantec.com/public/english_us_...lease/sequence/ into the address bar of your Web browser and then press Enter.(this could take a minute or so if you have a slow connection)

3. Now select 56208 folder or a higher. Open the folder.

4. Select the file symrapidreleasedefsx86.exe

5. When a download dialog box appears, save the file to the Windows desktop.

6. Double-click the downloaded file and follow the prompts.

Virus definition detail:

Sequence Number: 56208

Defs Version: 80711s

Extended Version: 07/11/2006 rev.19

Добавлено спустя 8 минут 2 секунды:

Для Symantec Mail Security последних версий, если настроено автоматическое получение RapidRelease данные действия применять не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

надо отдать должное тому, что семантик это делает в автоматическом режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
надо отдать должное тому, что семантик это делает в автоматическом режиме

Что конкретно? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

обрабатывают подозрительные файлы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

На самом деле надо отдать должное за скорость реакции. Мне, как нелюбителю Symantec, было интересно увидеть, что Gold Support всё же обеспечивает должный сервис, судя по данному кейсу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Dmitry Perets

Что касается временных характеристик, то они следующие:

Case в службе Gold Support открыт 11 июля в 11:10, 11 июля в 17:50 поступил ответ с укзанием url куда можно отсылать подозрительные файлы, при этом приоритет кейса был 2 из 3.

В Security Response Case был открыт 11 июля в 18:20, 11 июля в 19:45 пришел ответ о коррекции ложного срабатывания и уже был выпущен обновленный паттерн.

Итак, время реакции: 8 часов, однако в данных ситуациях Case в Gold Support можно не открывать, а сразу обращаться в Security Response, итого срок реакции: 1 час 25 минут.

Честно говоря, наверное данные сроки можно считать более чем качественными, по опыту Trend Micro AV Service реагирует (выдает окончательное решение) в среднем за 5-6 часов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Аналогично для KAV:

13 июля в 9-36 послано письмо на newvirus@kaspersky.com о ложном срабатывании (файлы другие).

13 июля в 10-52 закачены исправленные базы.

Время реакции: 1 час 16 минут, но возможно, что исправленная база была выпущена немного раньше...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Phoenix

По скорости реакции с Касперским почти никто конкурировать не может, но вот качество этой реакции не всегда бывает на высоте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Не, про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят. Ещё ни разу не было задержки больше, чем на пару часов с момента отправки мною чего-либо на newvirus до момента их реакции. Это я считаю уже со временем, которое прошло до того, как я апдейт скачал... Просто меня насчёт Symantec сомнения мучали. Но видимо, в корпоративном секторе у них с этим всё ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, в продолжении темы реакция Trend Micro:

20 июля в 13-58 открыт Case в Trend Micro AV-Service о ложном срабатывании на dll от Remote Admin 2.1 (Trojan-Generic), в результате чего нарушалась работа софта и была необходима его переустановка.

20 июля в 14-16 запрошен образец файла.

20 июля в 18-48 получен так называемый Bandage Pattern, доступный только по запросу.

Время реакции: 4 часа 32 минуты, но исправленная база выпущена только специально под клиента, к общему доступу не доступна ни в каком виде, что не избавляет от проблем других пользователей.

Не очень хорошие результаты с учетом важности и критичности проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Phoenix
Аналогично для KAV:

Dmitry Perets

про скорость работы аналитиков ЛК вообще нечего говорить. Они просто рулят.

Не в порядке святой войны, но в порядке справедливости. :)

Проверьте Дохтура© :)

Тоже всё в порядке, причём очень давно, причём часто быстрее ЛК, при этом, IMHO, качественней.

Кирилл Керценбаум
исправленная база выпущена только специально под клиента

Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Не очень хорошие результаты с учетом важности

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Интересно, почему такая реакция, ведь проблемы могут быть не только у этого клиента, но и у других? Зачем этих других-то травмировать? Раз травмируешь, другой - глядишь к симантеку уйдут.

Непонятно.

Будем считать это осторожность вдвойне, правда еще через 30 минут видимо оценив проблему Trend Micro уже выпустило официальное обновление, то есть спустя 5 часов

Ну не знаю-не знаю, по-моему, нормально с учётом того, что правильное решение часто должно отлежаться.

Все зависит от правильности оценки критичности ситуации аналитиками АВ вендора, в данном случае когда у клиента установлено ПО на 1000 хостах, а антивирус пытается удалить его как вирус и при этом нарушается работоспособность системы контроля, реакция должна быть более оперативная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
в данном случае когда у клиента установлено ПО на 1000 хостах

Н-да, это достаточно серьёзно.

А если говорить вообще, у импортных вендоров начало возникать осознание необходимости более оперативной реакции на свежие угрозы, включая и частных клиентов?

Ничего не могу сказать про Trend (но предполагаю, что и он), но те же симантек,макафи очень вяло реагируют на обыкновенные трояны и адвари, отправленные частным лицом.

Panda в последнее время немного поднялась в этом смысле, по личному ощущению.

Причём, что примечательно именно лидеры более вялы, чем другие.

Понятно, что крупная контора, бюрократия и т.д.

Или они оперативно не реагируют по каким-то другим своим причинам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Н-да, это достаточно серьёзно.

Главное чтобы у АВ компании правильно была выстроена система приоритезации задач обслуживания клиентов для минимизациия негативных последствий, а ошибаться могут все, даже крупные АВ компании

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×