AV-Desk vs Adobe Reader
#1
Отправлено 27 Март 2012 - 14:37
В связи с этим у меня вопрос - это компания Adobe начала масштабную вирусную эпидемию по всему миру под видом обновления или DrWeb лажанулся?
#2
Отправлено 27 Март 2012 - 14:43
Это было ложное срабатывание. Оно уже исправлено.Сегодня утром прошло обновление Adobe Reader 9 до версии 9.5.0 (на Win XP). А DrWeb AV-Desk молча поубивал его исполняемый файл AcroRd32.exe, посчитав его вирусом.
В связи с этим у меня вопрос - это компания Adobe начала масштабную вирусную эпидемию по всему миру под видом обновления или DrWeb лажанулся?
R&D www.drweb.com
#3
Отправлено 27 Март 2012 - 17:54
Как раз пригодилось бы.
#4
Отправлено 27 Март 2012 - 22:49
Эх, а реквест на восстановление ложняков по команде вирлаба так и умер вместе со старым трекером...
Как раз пригодилось бы.
Слухи о смерти трекера - преувеличены.
Поясните, плиз, что вы имеете в виду? Что бы пригодилось?
#5
Отправлено 28 Март 2012 - 15:53
Ситуация
- есть ложняк (reader.exe)
- Drweb его уносит в карантин
- кто-то шлёт в вирлаб
- пишется отключающая запись
- обновляются базы, файл больше не детектится
А обратно его кто возвращать будет? Правильно - пользователь, поминая вас всякими словами
Вот если бы вирлаб мог написать еще одну запись - "файл reader.exe признаки ... из карантина вернуть на место"
То жизнь у пользователей упростилась бы
#6
Отправлено 28 Март 2012 - 16:33
а рескан карантина спайдером после обновления баз?Вот если бы вирлаб мог написать еще одну запись - "файл reader.exe признаки ... из карантина вернуть на место"
#7
Отправлено 28 Март 2012 - 16:35
#8
Отправлено 28 Март 2012 - 18:19
Можно и так назватьрескан карантина спайдером после обновления баз?
#9
Отправлено 28 Март 2012 - 18:26
запись это команда достать из карантина что-то конкретное. рескан это ничего нового в смысле тот же самый формат записей баз - если не вирус, то восстановить из карантина.Можно и так назватьрескан карантина спайдером после обновления баз?
не понял. технически как или?сергейка, это как?
#10
Отправлено 28 Март 2012 - 20:44
Спайдер не сканирует карантин. Карантин взаимодействует с движком не касаясь спайдера.не понял. технически как или?сергейка, это как?
#11
Отправлено 28 Март 2012 - 22:04
ПыСы заспамили тему
Сообщение было изменено HHH: 28 Март 2012 - 22:05
#12
Отправлено 28 Март 2012 - 22:44
#13
Отправлено 28 Март 2012 - 23:41
#14
Отправлено 28 Март 2012 - 23:45
Понятие "скоро" у каждого свое. Лично я пока оснований для оптимизма не вижу
#15
Отправлено 29 Март 2012 - 00:50
Ситуация
- есть ложняк (reader.exe)
...
Звучит красиво, но, как обычно, на первый взгляд не видны груды подводных камней.
По какому критерию восстанавливать файл из карантина? Имя детекта? Нельзя - а если в карантине 100500 файлов с таким-же детектом, но это вирусы?
А еще может файл был на сменном диске, который уже вытащили. А может на месте этого файла уже есть оригинальный или другой - что делать?
Это так, что первое в голову пришло. Когда начинается реализация всплывет еще куча нюансов.
Лучше стремиться к тому, чтобы такая функциональность вообще не требовалась. Вот по этому направлению мы постоянно работаем. Скорость работы 7-го движка дала возможность мало беспокоиться о размере нашей коллекции чистых файлов, и она пополняется примерно по 50тыс новых файлов в месяц - это и обновления винды, и файлы популярного ПО, и тп.
Неприятный инцидент с adobe reader произошел по той причине, что в тех местах, где мы забираем его обновления, почему-то вовремя не появилась версия 9.5... И именно на этой версии появился фолс - чудовищное стечение различных обстоятельств, как говорится.
#16
Отправлено 29 Март 2012 - 08:37
- по спец сигнатуре от аналитикаПо какому критерию восстанавливать файл из карантина?
- если он чистый после очередного обновления баз (см. предложение сергейка)
восстанавливать только без детекта, естественноа если в карантине 100500 файлов с таким-же детектом, но это вирусы?
Значит и в карантине его уже нет. Карантин уехал вместе с носителемА еще может файл был на сменном диске, который уже вытащили.
Ничего. Кто-то уже сделал эту работу за вас.А может на месте этого файла уже есть оригинальный или другой - что делать?
В общем, не вижу ни одного нюанса, который нельзя решить
А отсутствие фолсов - это недостижимый идеал. Стремиться надо конечно, но...
#17
Отправлено 29 Март 2012 - 09:18
фантастически точно! но технические тонкости меня, как пользователя, не интересуют. движок ведь не выбирает файлы для сканирования по своему собственному решению? нет. и поэтому говорят кратко "проверить файл спайдером" подразумевается, что спайдер дает команду проверить файл движку. что-то типа того. нет? пусть команду движку на рескан карантина дает обновлятор, если не нравится спайдер.Спайдер не сканирует карантин. Карантин взаимодействует с движком не касаясь спайдера.не понял. технически как или?сергейка, это как?
#18
Отправлено 29 Март 2012 - 09:24
да идея-то ваша понятна и правильна с одной стороны. с другой стороны идеалы недостижимы. и разрабы первые же всегда напишут - фолсы не избежны. просто это значит при таком раскладе костылем в технологии будут пользователи, которым разрабы дали ручной рескан и восстановление. "просто незаметный АВ".Лучше стремиться к тому, чтобы такая функциональность вообще не требовалась. Вот по этому направлению мы постоянно работаем. Скорость работы 7-го движка дала возможность мало беспокоиться о размере нашей коллекции чистых файлов, и она пополняется примерно по 50тыс новых файлов в месяц - это и обновления винды, и файлы популярного ПО, и тп.
#19
Отправлено 29 Март 2012 - 09:28
Не нравится Спайдер не дает команд, это ему дают команды.спайдер дает команду проверить файл движку. что-то типа того. нет? пусть команду движку на рескан карантина дает обновлятор, если не нравится спайдер.
#20
Отправлено 29 Март 2012 - 10:26
Свежо питание...
Понятие "скоро" у каждого свое. Лично я пока оснований для оптимизма не вижу
"я гарантирую это"
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых