Сегодня на календаре 16 Августа 2016. Windows Defender удалил рабочий код с хоста. Как это было:

Обсуждая с коллегой новости о череде проблем у Microsoft, которые пестрят в новостях. Там зависло, там пропало, там еще что-то — видимо накаркал себе проблем. Работая на виртуальном сервере с кодом под IIS вдруг получаю предупреждение о том что Windows Defender обнаружил Worm внутри многих ASP файлов на хосте и настоятельно рекомендует удалить.

Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные. До вчера этой проблемы не существовало. Любая попытка восстановить с репозитория файлы — вызывает возмущение у Defender, с последующим удалением файлов.

Проверка настроек показала что Windows Defender обновился 8/15/16 до версии 1.225.3982.0. Сканер настойчиво видел Worm:VBS/VBSWGbased.gen в ASP (VBScript ) файлах. Проверка одного из файлов на virustotal.com показала теже результаты. Из 53х тестовых проверок — только Microsoft Defender находит Worm:VBS/VBSWGbased.gen.

Далее идет много часовая попытка понять, что именно заставило найти вирус и удалить код. Перебирая варианты строк и проверяя сканером каждую строчку — удалось удалить все и получить минимальный тестовый файл который вызывает безумие у Defender.

Function SafeSQLLogin()
  Execute(SafeSQLLogin())
End Function
Function Stream_StringToBinary(Text)
  Set BinaryStream = CreateObject("ADODB.Stream")
  BinaryStream.Type = adTypeText
  BinaryStream.CharSet = "us-ascii"
  BinaryStream.Open
  BinaryStream.WriteText Text
  BinaryStream.Position = 0
  BinaryStream.Type = adTypeBinary
  BinaryStream.Position = 0
  Stream_StringToBinary = BinaryStream.Read
  Set BinaryStream = Nothing
End Function
Function strCrypt()
  For i = 1 To Len(Text)
End Function

Код странный только потому что я удалил максимально все что смог, пока сканер все еще видел Червя. Этот текст минимальный, любое изменение или удаление одной из строк — перестает сводить с ума Defender.

Update: более свежая версия текста для принятия его за вирус:

Function S
Execute S
End Function
For i To Len T

Сохранив текст в файл как test.txt и отправив на virustotal.com все еще выдает потверждение о Черве, несмотря на то что Defender уже получил несколько новых обновлений. Вот результат от virustital.com

Result

Попытка связаться с Tech центром от Microsoft в режиме чата, слегка подняло настроение. Девушка+специалист настойчиво пыталась помочь мне восстановить систему и RestorePoint выдавая команды типа SCN и др. Все попытки пояснить что проблему не у меня с компьютером, вели вокруг настойчивой попытки решить мою проблему с моим компьютером. Поняв что сообщить о проблеме с Defender не получится, я связался с Администраторами хостов с предупреждением, что у нас могут возникнуть проблемы на всех серверах.

Администраторы как обычно не доступны. Надеюсь что они отзовутся не как обычно, когда уже что-то рухнуло. (сарказм)

Анализ «вредоносного» когда, не дает понимания никакой логики. Все ведет к случайному набору каких то совпадений. Любое изменение в тексте, ведет к тому что Червь перестает находиться. Но вся хитрость состоит в том, что текст идет не подряд!!! Этот код очищен от всего остального и это только часть строк, между этими строками были сотни строк другого кода. Нахождение Червя срабатывало только при существовании этих строк среди других строк кода весом на 80kb. Значит это не шаблон, а скорее по регулярке нахождение какого-то кол-ва определенных слов или фраз. Другой логики я не увидел.

Ничего против Microsoft не имею, но чтото в последнее время их ошибки чреваты огромными последствиями. У Администраторов существует жесткое правило — Никаких обновлений на серверах!!! Сначала долгие тесты на тестовых машинах. Понимаю что это звучит не ново — но исправления от Microsoft должны исправлять и защищать а не убивать и создавать новые проблемы, еще более страшные.

P.S. Defender получил очередную порцию обновлений, v1.225.4025.0 — но он все еще настойчиво блокирует и удаляет файлы на тестовом PC, на остальных машинах он везде отключен.
Поделиться с друзьями
-->

Комментарии (89)


  1. IhorL
    16.08.2016 02:23

    текст еще удалось немного почистить:

    Function S
    Execute(S)
    Function B
    Set o = CreateObject
    o.Type = o
    o.CharSet = 0
    o.Open
    o.WriteText Text
    o.Position = 0
    o.Type = o
    o.Position = 0
    B = o.Read
    Set o =
    End Function
    For i = 1 To Len(Text)
    — все еще Defender обнаруживает Worm и удаляет все файлы при нахождении кусочков или наборов из данного примера и неважно что между этими строками будет


    1. IhorL
      16.08.2016 02:38
      +1

      продвинулся еще дальше
      MpCmdRun.exe -Scan -ScanType 3 -File c:\test.txt
      Scanning c:\test.txt found 1 threats.
      Worm:VBS/VBSWGbased.gen
      ==========
      Function S
      Execute S
      End Function
      For i To Len(Text)
      =========
      что такого в этом наборе?


    1. Taras-proger
      16.08.2016 12:52

      Ну что Вы от мелкомягкого вируса то хотите? Если он перестанет удалять файлы и создавать проблемы, то перестанет быть вирусом и мелкософту придётся прекратить его «поддержку».


  1. Kalter
    16.08.2016 03:24
    +1

    Если вы хотите ответа от Майкрософт, отправьте им своего «червя» с жалобой на неправильное обнаружение: https://www.microsoft.com/en-us/security/portal/submission/submit.aspx.
    А вот здесь можно связаться с разработчиками: https://www.microsoft.com/en-us/security/portal/developer/ContactUS.aspx.


    1. IhorL
      16.08.2016 03:36
      +1

      Я им сразу отправил файл. Но за весь день реакции так и не увидел. Запрос все еще в стадии ожидания.
      А пока пытался понять причину такого чудного поведения Защиты. Дополнительно предупредил кого смог о непонятной проблеме и последствиях.

      Сейчас все еще пытаюсь найти логику сканера. Почему он удаляет в срочном порядке все файлы при нахождении совершенно безобидной комбинации.

      Function S
      Execute S
      End Function
      For i To Len T
      

      совершенно простые строки, даже в простом текстовом файле вызывают резкую реакцию защиты. Ведь даже если разбавить эти 4ре строки любым текстом, всеравно сканер найдет в нем Червя
      Function S
      'test test test 
      Execute S
      'test test test 
      End Function
      'test test test 
      For i To Len T
      'test test test 
      

      Кол-во текста может быть совершенно любым как и содержание. Сканер переходит в режим повышенной опасности и тутже удаляет файлы.
      Вопрос в том — сколько сегодня после обновления базы вирусов, на серверах было удалено файлов при совершенно невинном совпадении. Довольно таки простые строки кода и явно есть еще комбинации. Такчто шанс довольно таки огромен.
      Микрософт пока молчит и не отреагировал на запросы. А вариант блокировки и срочное удаление файлов, боюсь сегодня многим попортил нервов.


      1. profesor08
        16.08.2016 03:50
        +1

        На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине. Лучше уже отключить его и защитить машину как-то иначе, если там вообще это требуется.


        1. IhorL
          16.08.2016 03:55

          Я понимаю сарказм, но это больше похоже на опечатку или ошибку девелопера в команде дефендера, чем на тупость самого Defender.
          Вот только смущает, что они выпускают настолько проблемные ошибки в последнее время и реагируют довольно таки медленно.
          Защита которая самовольно удаляет все что ей вдруг вздумается. Довольно таки дорогая ошибка для компании такого уровня.
          И это в совокупности с последними новостями. У Пользователей виснут намертво компьютеры после обновления а они все еще ищут проблему и дают несуразные советы.


          1. profesor08
            16.08.2016 04:20

            В Defender есть возможность добавить папки/файлы в исключения, для временного решения годится. Останется только ждать вразумительных ответов от службы поддержки либо решения проблемы в одном из обновлений. Но тут не обойдется без подводных камней, возможны проблемы при разархивировании, копировании, переносе, придется добавлять в исключения временные папки или искать еще что-то. Сплошные неудобства.


            1. IhorL
              16.08.2016 04:33

              Еслибы вопрос стоял только в неудобстве.
              У меня например это случилось прямо вовремя написания кода. В какойто момент в Notepad++ нажимаешь сохранить и вдруг выясняешь что файл удалился и недоступен, и система начинает настойчиво ругаться что у вируса высший уровень опасности и срочно все удалить.
              А сколько хостов чисто статистически потеряли сегодня файлы и сколько сайтов или хостов сегодня умерло? Изза опечатки одного из девелопера команды дефендера. Одна ошибка и по всему миру у людей сканер начинает без спроса блокировать и убирать файлы.
              Папку IIS ставить в игнор тоже не очень умно, учитывая что могут быть Upload механизмы.
              Порой цена ущерба от червя гараздо ниже чем ущерб от самой защиты (сарказм)


              1. Andropolon
                16.08.2016 05:08

                Windows Defender на Windows 10 какой-то особенный.
                Возможно, на нем другие базы или другая эвристика.
                Мы тоже сталкиваемся с его проблемами, например, при создании новых инсталляторов. Стабильно новые инсталляторы считаются вирусами, при этом они созданы на разных компах, разными компиляторами, и после отправки в MS по вышеуказанному адресу, спустя сутки, антивирус перестает ругаться.
                Предлагаю объединить наши усилия и не сдаваться, мы параллельно с ними общаемся по похожему вопросу.


                1. IhorL
                  16.08.2016 05:18
                  +1

                  чисто уже любопытно из принципа.
                  какова же там логика эвристики что сканер находит среди кучи текста раскиданные 4ре строки, внутри любого текста

                  Function S
                  Execute S
                  End Function
                  For i To Len T
                  

                  и принимает это за червя. Это явно не шаблон и очень похоже на регулярку. Но Текст сильно простой чтобы было за что зацепится логикой. А вики по вирусу, пояснила что это код который генерирует вирус в виде автолоадера — вот тут моя эвристика в полном тупике.


                  1. Maccimo
                    16.08.2016 10:07

                    >> какова же там логика эвристики что сканер находит среди кучи текста

                    Разве того, что это код на VBScript недостаточно?
                    Я, конечно же, шучу, но неужели там нет поддержки хотя бы того же более лаконичного и популярного JS?

                    > 4ре

                    «4», просто «4».


                1. Revertis
                  16.08.2016 07:43
                  +3

                  Сейчас проверил — на Win 7 x64 Microsoft Security Essentials тоже сразу после сохранения файла говорит, что действий не требуется, и через секунд 5 удаляет файл с этими четырьмя строками.


        1. Idot
          16.08.2016 21:57

          На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине.

          Помнится была новость о том как обновление Десятки, однажды, снесло ряд программ как «несовместимые».


  1. IhorL
    16.08.2016 05:27
    +5

    Update:
    перебирая различные варианты в поиске ключа за который зацепился сканер, нашел что неважно какое название функций и какие тексты. Главное наличие Function + End Function с Execute внутри и даже неважно с какими параметрами, и дополнительно чтобы далее где-то был цикл. Всего два условия, которых достаточно логике сканера чтобы удалить все что угодно. Под такие критерии статистически может попадать много файлов.
    Как-то довольно таки примитивно для антивирусной программы по таким критериям определять вирус. Еще и ставить ему высший приоритет опасности.


    1. vilgeforce
      16.08.2016 09:40

      Типичный фолс, когда криворукий разработчик эвристика считает что такое бывает только в троях. Детект *.gen говорит, я думаю, как раз об эвристике. Смущает меня только то, что у них не было ничего подобного в коллекции чистых файлов (или у них ее вообще нет?!) и время реакции на фолс. Скорее всего, не вы одни такие и заявок должно быть много…


    1. PsyHaSTe
      16.08.2016 13:36
      +1

      Возникала похожая проблема при компиляции в студии проекта. Оказалось, дефендер начинал сканировать сам msbuild, студию и все прочее, и только после проверки разрешал совершить компиляцию. Если б мне на SO не ответили, никогда бы не подумал :)


      1. IhorL
        16.08.2016 13:41
        +1

        Сканер лочит файлы, а проверка файлов идет в рилтайм у него. Вот и выходит, что пока Студия генереит файлы, Дефендер тутже идет следом и реагирует на события. Залочил и удалил файл, вот Студия и осталась в пролете.
        Долго думает (сарказм)
        Вот бы Дефендер стоял на всех машинах вшитый намертво — тогдабы никто не смог скомпилировать вирус. Уникальное решение избавить мир от писателей вирусов.


        1. fRoStBiT
          16.08.2016 16:01

          Боюсь, что скомпилировать что-нибудь другое было бы тоже проблематично.


        1. grossws
          17.08.2016 02:37

          Ага, только надо не забыть требовать его наличия на linux и mac os x.


  1. Stalker_RED
    16.08.2016 07:09
    +5

    Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные.

    Если этот «антивирус для домохозяек» не оставляет выбора действий — удалите его.


    1. izzholtik
      16.08.2016 12:52
      +1

      Забавно, но если речь идёт о Win 10, то он не удаляется штатными средствами, а на home-версии отключается только временно.


      1. suratovvlad
        16.08.2016 16:52

        Поставьте другой антивирус, а потом просто отключите только что поставленный. В итоге не будут работать оба. У меня, например, Касперский такое позволяет.


      1. zirix
        17.08.2016 02:07

        Отключить можно этим:

        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
        «DisableAntiSpyware»=dword:00000001

        [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
        «DisableRealtimeMonitoring»=dword:00000001

        Кавычки только исправьте на обычные.
        На всякий случай: открыть блокнот > вставить текст > сохранить как off.reg > запустить > перезагрузиться


      1. Zapped
        17.08.2016 11:06

        а получится запретить запуск, например, .exe-шника Defender'а правами NTFS?

        Upd. а, не обновил страницу со вчерашнего вечера )) уже дали рецептов


  1. centur
    16.08.2016 07:42
    +18

    Отличный способ избавиться от VB на планете!


    1. IhorL
      16.08.2016 13:17

      Смешно но неверно.
      Я думаю можно и на JS подобрать вариант, ведь Винда поддерживает скриптовые части на обоих вариантах, JS и VB


    1. greendimka
      16.08.2016 21:49
      -1

      Избавление от VB неумение программирования не компенсирует, как бы вам не хотелось.


      1. centur
        17.08.2016 09:53
        +1

        Хмм, и где вы нашли в моем комментарии что я что-то хочу этим компенсировать? Особенно пресловутое неумение программирования…


        Вы очень пространно интерпретировали мой комментарий, похоже сильно им оскорбились (VB-погроммист?) и решили завуалировать ответное оскорбление в приписанных мне желаниях и отсутствиях компетенций.
        Ну что ж, очень показательно.


        А я, случайно, младенцев по ночам в вашей интерпретации не ем ??


  1. CrazyNiger
    16.08.2016 08:06

    Что-то последнее время часто у мелкомягких косяки по обновлениям. За год обновления семерки дважды ломали работу виртуальных машин, до выхода очередного обновления через три дня. Так что теперь свежие обновления предпочитаю не ставить, только через неделю.


    1. Areso
      16.08.2016 08:09
      +1

      В некоторых случаях недели недостаточно.


    1. dmitry_dvm
      16.08.2016 09:49

      Для этого в десятку добавили опцию «Отложенные обновления».


      1. melt
        16.08.2016 12:31

        Думаю, что у отложенных обновлений какой-то другой принцип. Ибо в начале месяца вышел Anniversary Update, в настройках включены отложенные обновления, однако в Patch Tuesday прилетели обновления, но не до Anniversary, а просто 10586.545. Соответственно «кривые обновления», которые могут что-то поломать, прилетают сразу.


    1. cdmnk
      16.08.2016 13:19

      Причина очень даже проста: Microsoft значительно уменьшила штат тестировщиков (пруф от ноября 2015)


    1. IhorL
      16.08.2016 13:36

      В новостных лентах только слышишь время от времени, как после очередного обновления у всех легли машины.
      В отчет от Microsoft идут порой идиотские ответы и бесконечно резиновое время ожидания.
      Из самых последних — это вот глобальный Anniversary Update, как раз обсуждали с напарником новость, как у пользователей намертво зависают системы. Мелкомягкие нашли причину — из области фантастики, когда пользователи часть софта ставили не на первый SSD а на дополнительный HDD. И вот тут совет от гиганта просто выбил меня со стула: «Загрузитесь в безопасный режим и перенесите софт на основной SDD». КАК? если у пользователей стоит SSD и они ставили на дополнительный, это значит что места нету там физически.
      Ну просто ответ на от***итесь, а еще лучше удалите все а мы типа пока подумаем что делать. Отношение какбы совсем неуместное.
      Видимо Microsoft подслушивали в Skype нас, и сразу прямо подруку, дефендер залочил и грохнул файл в котором работал. (сарказм)


  1. alaska332
    16.08.2016 08:18
    +6

    У дефендера нет эвристики, только сигнатуры. Поэтому срабатывает на вашем наборе текста.

    PS: Антивирус вообще не нужен. Никакой. Бесполезная трата денег, ресурсов клмпьютера и моральных сил.


    1. vilgeforce
      16.08.2016 09:40
      +1

      *.gen не эвристик ли?


      1. alaska332
        16.08.2016 09:57
        +1

        «Эвристика».

        Компании, которые зарабатывают на малваре и прочем криптуют свой вредоносный код по нескольку раз в день и проверяют на последних обновлениях всех антивирусов.
        Именно это и представляет угрозу, и именно от этой угрозы ни какой антивирус вам не спасет.

        Накатывайте последние обновления на систему и браузер, не запускайте exe файлы из интернета.
        Все.


        1. vilgeforce
          16.08.2016 10:36
          +1

          К чему это? Я 8,5 лет в индустрии и сам это прекрасно знаю.


          1. alaska332
            16.08.2016 10:46
            -2

            хорошо


        1. iandarken
          18.08.2016 16:19

          Именно для этого часть детектов в нормальных антивирусах срабатывает только при определенных условиях, а не просто при он-деманд скане.


    1. all_777
      16.08.2016 12:52

      Дома то ладно, но что прикажете использовать тем же бухам на рабочих компах и т.п.? Или здесь будет фразы про политики, запрет флешек, настроенный почтовый сервер? Не холивара ради, мне просто правда интересно.


      1. alaska332
        16.08.2016 12:55

        Не знаю.
        Без повышения общего уровня пользователя — только репрессивные методы.
        Лучше всего терминал ;-), и обслуживать проще.


        1. all_777
          16.08.2016 20:11

          Терминал хорошая вещь, но ведь не все можно перенести в терминал (например, некоторые интернет банки или программы с графикой (то же visio)).
          Увы, без антивируса никак. Белый список тоже так себе выход.


          1. alaska332
            16.08.2016 20:17

            В термиинал можно перенести любой офисный софт, визио — вообще не проблема.
            Белый списки — кал, будете создавать себе лишние проблемы?
            Ради чего, чтобы идиотский бесполезный антивирус не мешал работать?
            Это странное решение.


      1. mayorovp
        16.08.2016 13:48

        Белые списки для запуска программ...


        1. IhorL
          16.08.2016 13:52

          если будете успевать за обновлениями. В какойто момент вдруг то что в белом списке может оказаться вредоносным. Кто его знает на что способен девелопер к примеру в понедельник после пати если тестер все это пропустит в паблик.


  1. mihmig
    16.08.2016 08:22

    Не холивара ради, но:
    Использовать в продакшене ЯП, который для доступа к двоичным файлам использует методы для работы с БД, это мне кажется неправильно…


    1. Zolushok
      16.08.2016 12:29

      когда задача ставится как «соорудить костыль, который запускается на всём, включая древние виндовсы, без установки дополнительного софта», вопросы правильности отходят на второй план.


    1. greendimka
      16.08.2016 21:53

      Не холивара ради: если не знаете возможностей языка — то не утверждаете.


  1. n01d
    16.08.2016 09:09

    Может, я чего-то не понимаю, но дефендер не удаляет файлы, а помещает на карантин, откуда их можно легко восстановить и добавить в исключения. Буквально на днях у меня дефендер ругался на подписанный powershell-скрипт (пока не подписал — не ругался). Элементарно восстановил из карантина и добавил в исключения. Это я про Win10, на 7-ке всегда его отключал.


    1. IhorL
      16.08.2016 13:14

      В этом конкретном случае он мгновенно блокирует файл и удаляет его содержимое. Файл ты видишь и видишь его размер, но содержимое при просмотре оказывается пустым. И произошло то это в папке IIS, т.е. Сканер просто удалил скриптовые файлы веб сервера уложив продукт.
      Это просто произошло какимто неземным чудом в момент моего удаленного редактирования файла на сервере. А так бы мог узнать уже спустя время.
      И вопрос чисто любопытства ради — сколько машин пострадало от такого действия.


  1. alaska332
    16.08.2016 10:15
    +1

    Отключить Windows Defender можно так:

    gpedit.msc

    Local Computer Policy/Computer Configuration/Administrative Templates/Windows Components/Windows Defender/Turn off Windows Defender ---> Enable


  1. Isopropil
    16.08.2016 12:03
    +6

    #мышки #кактус #кушать


  1. sluge
    16.08.2016 12:22

    По моему уже после первой проверки на virustotal было ясно что это false positive срабатывание. Зачем вы вообще этот Defender держите? Он дырявый как решето.


  1. varnav
    16.08.2016 12:28
    +2

    обновился 8/15/16 до версии

    В 15-м месяце года всякое возможно


    1. IhorL
      16.08.2016 12:59
      -6

      надеюсь это сарказм был?
      все компы и сервера в US стандарте, в привычке уже все делать в их формате


      1. varnav
        16.08.2016 13:05
        +8

        а что ж статья не на английском?


      1. varnav
        16.08.2016 13:07
        +9

        Некорректно писать статью на русском языке для русскоязычной аудитории, но указывать в ней даты и единицы в чужих форматах. Что если бы это было не очевидно американское 8/15/16, а какое-нибудь 6/3/16 — тогда что нужно думать, что это 6 марта, или третье июня?


        1. alaska332
          17.08.2016 11:17

          Если уже быть совсем умным, то в нашей нотации разделитель даты — "." а не "/".



        1. IhorL
          17.08.2016 19:38
          +1

          это настолько принципиально было чтобы столько шпал накидать?
          я в начале статьи написал полностью дату, а дальше в тексте скопировал с экрана цифры Дефендера один-в-один как видел на экране. Я допустил настолько грубую ошибку, что статья потеряла смысл или когото чемто обидел? Сама статья получила +24 зато изза формата даты который я скопировал с экрана вместе с номером ревизии обновления и получил -6
          Порой, наблюдая за комментариями к статьям на хабре, замечаешь как порой, критикам абсолютно неважно о чем статья, все внимание переключается на буквально какоето одно слово и понеслась.
          Чисто риторический вопрос — если бы я вставил скриншот с экрана с датами и номером ревизии — тоже бы заминусили что для скриншот с англоязычной ОСь и это грубейшая ошибка?


          1. varnav
            18.08.2016 17:44

            А мне как то карму слили за совет играть на геймпаде в игру, сделанную под геймпад.
            Но вообще да, это так же принципиально как писать и говорить грамотно.


  1. Zolushok
    16.08.2016 12:42
    +1

    У нас в конторе на VBSript наработано достаточно большое количество полезных мелочей.
    И увы, чем дальше, тем чаще антивирусы сходят с ума при виде скриптов, делающих что-то сложнее, чем msgbox «hello world!».
    И не только Windows Defender.

    В разгаре агония самой концепции «антивирусов», производители этого анахронизма в панике всё больше усложняют алгоритмы поиска угроз, увеличивая тем самым количество ложных срабатываний и усложняя поиск «что же антивирусу на этот раз не понравилось».


    1. IhorL
      16.08.2016 13:05

      Логика понятна в приципе их работы.
      Был вирус — он генерил автопогрузчики определенные. Нашли и вписали в логику. Но!.. если уж пишите логику, то поидеи если нету самого вируса, то незачем реагировать на все подряд.
      Ведь если это чисто текстовый файл то он априори не вредоносный, его вредоносным может сделать сам троян, но ведь если самого трояна нету то и орать что какойто файл в котором есть слово function опасен и уложит вашу систему.
      Как по мне то тут лень или криворукость.
      Вот только, в последнее время гиганты типа Микрософт, Гугл, Яблоко… допускают себе ошибки от которых пользователи и даже компании, попадают на денежные затраты и проблемы. Ну подумаешь ошиблись. Недельку подождите, может мы исправим.


  1. Vlad_fox
    16.08.2016 12:52

    Windows Defender — это своего рода заглушка, которая худо-бедно защищает машину при начальной установке.
    Для нормальной работы необходимо установить нормальный антивирус. Есть хорошие как платные так и бесплатные варианты.
    Мало того что эта заглушка плохо работает как антивирус (мало ловит, ложные срабатывания), то еще и сильно жрет системные ресурсы.


    1. IhorL
      16.08.2016 13:08
      +3

      Да нету нормальных априори. Это из области холивара кто лучше.
      Каждый из них несет проблему в той или иной период времени.
      Дефендер хотябы родной и является частью системы, обновления идут десятками в день.
      Ставить Симантек на сервер потеряв огромный кусок производительности? ДрВеб чтоли? Нортон?
      Спорить можно до крови, но каждый из решений приносит время от времени головную боль.


      1. cdmnk
        16.08.2016 14:00
        +1

        Плюс тот же ДрВеб мне точно так же сносил свежекомпилируемый Hello World. И тоже долго реагировали в поддержке. Так что все не без греха.


        1. Idot
          16.08.2016 22:03

          Не напишете статью? Было бы очень любопытно. :-)


      1. dimmount
        16.08.2016 14:09

        Обычно антивирус противопоказан на сервере, кроме файлового. Серверные версии включают только файловый компонент.
        Какова причина необходимости антивируса на сервере приложений?


        1. mayorovp
          16.08.2016 14:24

          Так ведь файловый-то скрипты и удалял...


          1. dimmount
            16.08.2016 14:49

            это понятно. Вопрос — зачем он там? Я понимаю, когда на сетевые шары валят кучу непотребства. Какой вирусной угрозы ждут на сервере приложений с iis? Ведь даже в случае взлома сервера и заражения скриптов — антивирус как-раз и потрет собственно скрипты.


            1. mayorovp
              16.08.2016 15:03

              1. Сисадмины не разрешают отключать;
              2. Безопасники запрещают отключать;
              3. Никто не знает как его выключить;
              4. Никто не задумывался о том, что там антивирус по умолчанию включен

              А так-то я согласен, антивирусу на сервере не место


              1. IhorL
                16.08.2016 15:20
                +1

                Даже больше можно теперь говорить — на сервере место защиты от обновлений и всяких защит. Т.е. блокировка любых попыток от Микрософта чтото обновить или улучшить.
                Хотя и звучит это очень некрасиво, производитель серверного продукта сам опасен для этого сервера своими действиями.


              1. playnet
                17.08.2016 20:43

                3 говорит о некомпететности админов (это именно их компетенция, а также удаления чего-либо «не там»), а 4 позволяет просто молча выключить, он же и так «как бы выключен».


  1. IhorL
    16.08.2016 13:49
    +1

    Аллилуя братья и сестры, Microsoft таки отреагировала на запрос. Я уже даже не надеялся на это.
    https://www.microsoft.com/security/portal/submission/submissionhistory.aspx?SubmissionId=88F59521-AB6F-4EC1-9218-2B9D3E3DC742
    Таки почти спустя 16 часов они рассмотрели запрос и обновили Дефендер.
    v1.225.4071.0 перестал реагировать. Час назад предыдущее обновление еще ругалось, пока пытался найти аналог в JS варианте.
    Радует что реагируют, огорчает что скорость гигантски медлительна для гиганта. Можно предположить что на 16 часов с большой вероятностью, были проблемы и пропали скрипты или машины стояли с отключенным дефендером.
    Маааленькая опечатка программиста и лажа тестера — последствия могут быть колоссальны.


    1. oleg_gavrilov
      16.08.2016 18:49
      -7

      Простите за наглость, но вы не оборзели?


    1. katamathesis
      16.08.2016 20:41
      +2

      Ну так им необходимо проверить заявку, разобраться, найти решение и заимплементить его. 16 часов это вполне приемлимый вариант.


    1. Kalter
      17.08.2016 01:41
      +1

      Это отличное время.


  1. Danik-ik
    16.08.2016 16:52
    +1

    Так вот для чего меня учили категорически избегать функций, выполняющих произвольную строку! На них распространяется презумпция виновности!


  1. Idot
    17.08.2016 06:18

    Я сейчас подобный глюк представил у автоматического дрона из программы автоматического поиска террористов по их поведению https://en.wikipedia.org/wiki/SKYNET_(surveillance_program)


  1. Funbit
    17.08.2016 09:51
    +1

    О да, судя по результатам «Windows Defender false positive» количество подобных случаев растет, причем в основном в этом году.
    Пару месяцев назад у нас был похожий случай, в .NET dllке стал находиться некий MSIL/Injector.JC, который поудалял часть нашего софта с компьютеров юзеров. В дллке был всего лишь безобидный код работы с реестром и только в режиме чтения. Базу сигнатур исправили только через неделю, причем пришлось искать прямые связи до конкретных людей. Дать бы по башке тем, кто так регистрирует сигнатуры.


  1. IhorL
    17.08.2016 12:49
    +1

    Ответ Funbit: (промахнулся)
    Вот такие новости и напрягают каждый раз.
    Вроде бы как, Microsoft занимается выпуском систем не только для «домохозяек», по личному опыту вижу как большие корпоративные клиенты используют их софт. И как вот на фоне этого, можно себе позволять выпускать глюки которые ломают целые системы и сети.
    Ведь к примеру у строительной корпорации в Штатах, у которых по 20-50 Дивизионов с тысячами персонала в каждой, плюс субподрядчики… и вот в какойто момент падает весь продукт и днями или неделями все ищут костыль чтобы обойти очередной патч или обновление.
    В итоге все это приводит к всеобщему мнению, что нужно опасаться патчей или обновлений от Microsoft, сильнее чем сами дыры и вирусы. Да и как можно выпустить глюк который сломал все по всему миру, и позволить себе дни а то и недели, чтобы это исправить.

    Я теперь понимаю психов в Штатах. Поначалу их не понимал. В больших компаниях все компьютеры пользователей, клонированы с одного образа и настроены, и в них заблокировано максимально все. Даже туллбар в IE не включить и не поменять, в избранное даже не добавить. На уровне «полиси» залочено абсолютно все, и чтобы чтото установить или поменять, уходит колоссальное время и силы. Их админы уперто стоят на своем и не дают ничего менять, и все обновления естественно заблокированы. Получается их маразм построен вот на таких последствиях, когда чья-то опечатка или ошибка, всю компанию может поставить в проблему и ударить по карману.
    Печально все это.


    1. Funbit
      17.08.2016 14:04
      +1

      Очень печально, да. С одной стороны я за то, чтобы софт был свежим, слишком много находится уязвимостей (в любом софте, не только в винде), но страх что что-то сломается начинает превалировать… И ладно если речь идет о домашней машине, но вот когда какой-то апдейт начинает удалять твой собственный софт на ЧУЖИХ компьютерах по ошибке (причем за эту ошибку никому ничего не будет, а хорошо бы уволить), расплачиваться приходится тебе…


  1. Vlad_fox
    17.08.2016 14:13
    -1

    повторюсь — дефендер — хорошее джентельменское средство защиты от вирусов для свежеустановленной ОС, оно защитит систему до того времени, которое нужно на выкачивание и установку НОРМАЛЬНОГО антивируса.
    хотя для подавляющего числа домо[хозяек|хозяев|прочих непродвинутых юзеров] и этого средства будет вполне достаточно, им не требуется безотказность и надежность 99,999%.
    для серверов же, особенно продакшн, надо подбирать необходимую защиту, выбрать обычно есть из чего.
    Естественно надо учитывать особенности политики безопасности в организации, бюжеты, требования к надежности и бытродействию и т.д… из-за обилия этих влияющих факторов нет общей рекомендации антивирусного продукта.


    1. IhorL
      17.08.2016 17:08

      что в вашем понимание «нормальный антивирус».
      Я вижу как на каждом ПС и ноуте купленном в штатах — стоит сразу Симантик или Нортон, которые сразу сьедают львиную долю ресурсов, как памяти так и CPU.
      Как для меня лично, то Дефендер менее прожорлив. Он является частью кернела, и делает свою работу незаметно для тебя. Частота и кол-во обновлений тоже говорит о многом. А заменить его чемто с параноидальным анализом который безумно лочит все?
      Если взять историю каждого антивирусника то почти у всех будет на счету подобные ошибки и более страшные проблемы. Идеальных нету.
      Сама тема этой истории никоем образом не шла о том что Дефендер такой галимый и срочно его все меняйте на ДрВеб. Речь шла о том что софтварные компании такого уровня, позволяют себе такие «ошибки» которые могут просто взять и удалить информацию, или обрушить продукт на тысячи ПС.
      И не только Microsoft, тотже Google тоже относится порой к пользователям как халявной группе тестеров.
      Самсунг тоже грешит этим, выпускает сначала сырой продукт для третих регионов, Вьетнам, Сербия, Казахстан и т.д. ждет результатов, и только потом проверенный и обкатанный софт уже пускает выше. Тупо халявные тестеры за их же деньги. И такая тенденция растет.


      1. Vlad_fox
        18.08.2016 10:58

        под НОРМАЛЬНЫМ инструментом (антивирусом в данном случае) я понимаю такой, что соответствует нормам, которые приняты для задачи.
        1. если задача звучит так — обеспечить НАДЕЖНУЮ антивирусную защиту серверов и ПК в компании — нормой является:
        — возможность централизованного контроля за активностью антивирусных экранов на машинах
        — опционально — возможность обновления из локального сервера обновлений (обновления вначале тестируются на тестовой системе, потом тиражируются на продуктовую)
        — опционально — возможность гибко настроить политики экранов для разных групп машин (для серверов можно отключить ряд экранов, уменьшить уровень эвристики)
        при этой норме дефендер и близко не годится.
        2. если задача нормирована как — хочу чтоб на станции стоял антивирус, имеющий хорошие рейтинги и бесплатно:
        смотрим том актуальных антивирусов, выбираем по вкусу.
        и тут дефендер сразу в топку, ни в одном обзоре он не входит и в 5-у лучших.
        3. если задача не нормирована вообще (владелица машины не в курсе что такое антивирус) или нормирована так: на машине нужен антивирус, и чтоб вообщ ничего не искать и не делать
        вот для этого случая. достаточно частого, кстати, дефендер и предназначен. Но при такой нормировке нечего пинять на ложные срабатывания при разработке скриптов — тут сериал смотрят и игры гоняют а не скрипты пишут.

        единственный жирный плюс дефендера — он уже есть, бесплатно, и как-то что-то защищает. Для многих, кто не умеет/не хочет/не любит думать — этот плюс решающий.


  1. bissq
    17.08.2016 20:25

    А чего на дефендера все жалуются? Мне помнится у каждого антивиря были проблемы с удалением полезных и нужных файлов, это скорее норма.
    Уж один касперыч сколько нервов одно время съедал.

    Кстати, только что сам создал текстовый файлик с этими строчками — действительно дефендер начинает паниковать))


    1. IhorL
      17.08.2016 20:27

      обновите Дефендер — уже вчера они выпустили патч. Покрайней мере после v1.225.4071.0 перестало ругаться. Хотя может они снова чтото сломали?