29 ответов в этой теме

[Dixlofoz]

Сегодня утром прошло обновление Adobe Reader 9 до версии 9.5.0 (на Win XP). А DrWeb AV-Desk молча поубивал его исполняемый файл AcroRd32.exe, посчитав его вирусом.

В связи с этим у меня вопрос - это компания Adobe начала масштабную вирусную эпидемию по всему миру под видом обновления или DrWeb лажанулся?

[sergeyko]

Сегодня утром прошло обновление Adobe Reader 9 до версии 9.5.0 (на Win XP). А DrWeb AV-Desk молча поубивал его исполняемый файл AcroRd32.exe, посчитав его вирусом.

В связи с этим у меня вопрос - это компания Adobe начала масштабную вирусную эпидемию по всему миру под видом обновления или DrWeb лажанулся?

Это было ложное срабатывание. Оно уже исправлено.

[HHH]

Эх, а реквест на восстановление ложняков по команде вирлаба так и умер вместе со старым трекером...
Как раз пригодилось бы.

[at.]

Эх, а реквест на восстановление ложняков по команде вирлаба так и умер вместе со старым трекером...
Как раз пригодилось бы.

Слухи о смерти трекера - преувеличены.
Поясните, плиз, что вы имеете в виду? Что бы пригодилось?

[HHH]

Писал когда-то реквест, но где его найти тепрь-то?
Ситуация
- есть ложняк (reader.exe)
- Drweb его уносит в карантин
- кто-то шлёт в вирлаб
- пишется отключающая запись
- обновляются базы, файл больше не детектится

А обратно его кто возвращать будет? Правильно - пользователь, поминая вас всякими словами

Вот если бы вирлаб мог написать еще одну запись - "файл reader.exe признаки ... из карантина вернуть на место"

То жизнь у пользователей упростилась бы

[Пол Банки]

Вот если бы вирлаб мог написать еще одну запись - "файл reader.exe признаки ... из карантина вернуть на место"

а рескан карантина спайдером после обновления баз?

[maxic]

сергейка, это как?

[HHH]

рескан карантина спайдером после обновления баз?

Можно и так назвать

[Пол Банки]

рескан карантина спайдером после обновления баз?

Можно и так назвать

запись это команда достать из карантина что-то конкретное. рескан это ничего нового в смысле тот же самый формат записей баз - если не вирус, то восстановить из карантина.

сергейка, это как?

не понял. технически как или?

[maxic]

сергейка, это как?

не понял. технически как или?

Спайдер не сканирует карантин. Карантин взаимодействует с движком не касаясь спайдера.

[HHH]

Я так понял, что это предложение такое. Как альтернатива моему.

ПыСы заспамили тему

Сообщение было изменено HHH: 28 Март 2012 - 22:05

[maxic]

HHH, мне думается, что тут на архитектурном уровне требуются изменения. Причем на уровне 6 версии вряд ли что удастся сделать, а вот 7 версия при внешней схожести с шестеркой, отличается от нее очень сильно. И, вероятно, возможно заставить control service с помощью скриптов, на которых все работает, запускать и перепроверку карантина с заданной (настраиваемой) регулярностью. В новой архитектуре большой потенциал. Но, повторюсь, это лишь мои предположения, может, оно все и не так на самом деле. Тем более что когда ожидать AV-Desk, неизвестно, даже ES 7 вряд ли появится раньше конца года.

[Eugeny Gladkih]

7е компоненты скоро будут везде. инфа 146%!

[maxic]

Свежо питание...
Понятие "скоро" у каждого свое. Лично я пока оснований для оптимизма не вижу

[at.]

Ситуация
- есть ложняк (reader.exe)
...

Звучит красиво, но, как обычно, на первый взгляд не видны груды подводных камней.
По какому критерию восстанавливать файл из карантина? Имя детекта? Нельзя - а если в карантине 100500 файлов с таким-же детектом, но это вирусы?
А еще может файл был на сменном диске, который уже вытащили. А может на месте этого файла уже есть оригинальный или другой - что делать?
Это так, что первое в голову пришло. Когда начинается реализация всплывет еще куча нюансов.

Лучше стремиться к тому, чтобы такая функциональность вообще не требовалась. Вот по этому направлению мы постоянно работаем. Скорость работы 7-го движка дала возможность мало беспокоиться о размере нашей коллекции чистых файлов, и она пополняется примерно по 50тыс новых файлов в месяц - это и обновления винды, и файлы популярного ПО, и тп.
Неприятный инцидент с adobe reader произошел по той причине, что в тех местах, где мы забираем его обновления, почему-то вовремя не появилась версия 9.5... И именно на этой версии появился фолс - чудовищное стечение различных обстоятельств, как говорится.

[HHH]

По какому критерию восстанавливать файл из карантина?

- по спец сигнатуре от аналитика
- если он чистый после очередного обновления баз (см. предложение сергейка)

а если в карантине 100500 файлов с таким-же детектом, но это вирусы?

восстанавливать только без детекта, естественно

А еще может файл был на сменном диске, который уже вытащили.

Значит и в карантине его уже нет. Карантин уехал вместе с носителем

А может на месте этого файла уже есть оригинальный или другой - что делать?

Ничего. Кто-то уже сделал эту работу за вас.

В общем, не вижу ни одного нюанса, который нельзя решить

А отсутствие фолсов - это недостижимый идеал. Стремиться надо конечно, но...

[Пол Банки]

сергейка, это как?

не понял. технически как или?

Спайдер не сканирует карантин. Карантин взаимодействует с движком не касаясь спайдера.

фантастически точно! но технические тонкости меня, как пользователя, не интересуют. движок ведь не выбирает файлы для сканирования по своему собственному решению? нет. и поэтому говорят кратко "проверить файл спайдером" подразумевается, что спайдер дает команду проверить файл движку. что-то типа того. нет? пусть команду движку на рескан карантина дает обновлятор, если не нравится спайдер.

[Пол Банки]

Лучше стремиться к тому, чтобы такая функциональность вообще не требовалась. Вот по этому направлению мы постоянно работаем. Скорость работы 7-го движка дала возможность мало беспокоиться о размере нашей коллекции чистых файлов, и она пополняется примерно по 50тыс новых файлов в месяц - это и обновления винды, и файлы популярного ПО, и тп.

да идея-то ваша понятна и правильна с одной стороны. с другой стороны идеалы недостижимы. и разрабы первые же всегда напишут - фолсы не избежны. просто это значит при таком раскладе костылем в технологии будут пользователи, которым разрабы дали ручной рескан и восстановление. "просто незаметный АВ".

[maxic]

спайдер дает команду проверить файл движку. что-то типа того. нет? пусть команду движку на рескан карантина дает обновлятор, если не нравится спайдер.

Не нравится Спайдер не дает команд, это ему дают команды.

[Eugeny Gladkih]

Свежо питание...
Понятие "скоро" у каждого свое. Лично я пока оснований для оптимизма не вижу

"я гарантирую это"