Обсуждая с коллегой новости о череде проблем у Microsoft, которые пестрят в новостях. Там зависло, там пропало, там еще что-то — видимо накаркал себе проблем. Работая на виртуальном сервере с кодом под IIS вдруг получаю предупреждение о том что Windows Defender обнаружил Worm внутри многих ASP файлов на хосте и настоятельно рекомендует удалить.
Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные. До вчера этой проблемы не существовало. Любая попытка восстановить с репозитория файлы — вызывает возмущение у Defender, с последующим удалением файлов.
Проверка настроек показала что Windows Defender обновился 8/15/16 до версии 1.225.3982.0. Сканер настойчиво видел Worm:VBS/VBSWGbased.gen в ASP (VBScript ) файлах. Проверка одного из файлов на virustotal.com показала теже результаты. Из 53х тестовых проверок — только Microsoft Defender находит Worm:VBS/VBSWGbased.gen.
Далее идет много часовая попытка понять, что именно заставило найти вирус и удалить код. Перебирая варианты строк и проверяя сканером каждую строчку — удалось удалить все и получить минимальный тестовый файл который вызывает безумие у Defender.
Function SafeSQLLogin()
Execute(SafeSQLLogin())
End Function
Function Stream_StringToBinary(Text)
Set BinaryStream = CreateObject("ADODB.Stream")
BinaryStream.Type = adTypeText
BinaryStream.CharSet = "us-ascii"
BinaryStream.Open
BinaryStream.WriteText Text
BinaryStream.Position = 0
BinaryStream.Type = adTypeBinary
BinaryStream.Position = 0
Stream_StringToBinary = BinaryStream.Read
Set BinaryStream = Nothing
End Function
Function strCrypt()
For i = 1 To Len(Text)
End Function
Код странный только потому что я удалил максимально все что смог, пока сканер все еще видел Червя. Этот текст минимальный, любое изменение или удаление одной из строк — перестает сводить с ума Defender.
Update: более свежая версия текста для принятия его за вирус:
Function S
Execute S
End Function
For i To Len T
Сохранив текст в файл как test.txt и отправив на virustotal.com все еще выдает потверждение о Черве, несмотря на то что Defender уже получил несколько новых обновлений. Вот результат от virustital.com
Result
Попытка связаться с Tech центром от Microsoft в режиме чата, слегка подняло настроение. Девушка+специалист настойчиво пыталась помочь мне восстановить систему и RestorePoint выдавая команды типа SCN и др. Все попытки пояснить что проблему не у меня с компьютером, вели вокруг настойчивой попытки решить мою проблему с моим компьютером. Поняв что сообщить о проблеме с Defender не получится, я связался с Администраторами хостов с предупреждением, что у нас могут возникнуть проблемы на всех серверах.
Администраторы как обычно не доступны. Надеюсь что они отзовутся не как обычно, когда уже что-то рухнуло. (сарказм)
Анализ «вредоносного» когда, не дает понимания никакой логики. Все ведет к случайному набору каких то совпадений. Любое изменение в тексте, ведет к тому что Червь перестает находиться. Но вся хитрость состоит в том, что текст идет не подряд!!! Этот код очищен от всего остального и это только часть строк, между этими строками были сотни строк другого кода. Нахождение Червя срабатывало только при существовании этих строк среди других строк кода весом на 80kb. Значит это не шаблон, а скорее по регулярке нахождение какого-то кол-ва определенных слов или фраз. Другой логики я не увидел.
Ничего против Microsoft не имею, но чтото в последнее время их ошибки чреваты огромными последствиями. У Администраторов существует жесткое правило — Никаких обновлений на серверах!!! Сначала долгие тесты на тестовых машинах. Понимаю что это звучит не ново — но исправления от Microsoft должны исправлять и защищать а не убивать и создавать новые проблемы, еще более страшные.
P.S. Defender получил очередную порцию обновлений, v1.225.4025.0 — но он все еще настойчиво блокирует и удаляет файлы на тестовом PC, на остальных машинах он везде отключен.
Комментарии (89)
Kalter
16.08.2016 03:24+1Если вы хотите ответа от Майкрософт, отправьте им своего «червя» с жалобой на неправильное обнаружение: https://www.microsoft.com/en-us/security/portal/submission/submit.aspx.
А вот здесь можно связаться с разработчиками: https://www.microsoft.com/en-us/security/portal/developer/ContactUS.aspx.IhorL
16.08.2016 03:36+1Я им сразу отправил файл. Но за весь день реакции так и не увидел. Запрос все еще в стадии ожидания.
А пока пытался понять причину такого чудного поведения Защиты. Дополнительно предупредил кого смог о непонятной проблеме и последствиях.
Сейчас все еще пытаюсь найти логику сканера. Почему он удаляет в срочном порядке все файлы при нахождении совершенно безобидной комбинации.
Function S Execute S End Function For i To Len T
совершенно простые строки, даже в простом текстовом файле вызывают резкую реакцию защиты. Ведь даже если разбавить эти 4ре строки любым текстом, всеравно сканер найдет в нем Червя
Function S 'test test test Execute S 'test test test End Function 'test test test For i To Len T 'test test test
Кол-во текста может быть совершенно любым как и содержание. Сканер переходит в режим повышенной опасности и тутже удаляет файлы.
Вопрос в том — сколько сегодня после обновления базы вирусов, на серверах было удалено файлов при совершенно невинном совпадении. Довольно таки простые строки кода и явно есть еще комбинации. Такчто шанс довольно таки огромен.
Микрософт пока молчит и не отреагировал на запросы. А вариант блокировки и срочное удаление файлов, боюсь сегодня многим попортил нервов.profesor08
16.08.2016 03:50+1На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине. Лучше уже отключить его и защитить машину как-то иначе, если там вообще это требуется.
IhorL
16.08.2016 03:55Я понимаю сарказм, но это больше похоже на опечатку или ошибку девелопера в команде дефендера, чем на тупость самого Defender.
Вот только смущает, что они выпускают настолько проблемные ошибки в последнее время и реагируют довольно таки медленно.
Защита которая самовольно удаляет все что ей вдруг вздумается. Довольно таки дорогая ошибка для компании такого уровня.
И это в совокупности с последними новостями. У Пользователей виснут намертво компьютеры после обновления а они все еще ищут проблему и дают несуразные советы.profesor08
16.08.2016 04:20В Defender есть возможность добавить папки/файлы в исключения, для временного решения годится. Останется только ждать вразумительных ответов от службы поддержки либо решения проблемы в одном из обновлений. Но тут не обойдется без подводных камней, возможны проблемы при разархивировании, копировании, переносе, придется добавлять в исключения временные папки или искать еще что-то. Сплошные неудобства.
IhorL
16.08.2016 04:33Еслибы вопрос стоял только в неудобстве.
У меня например это случилось прямо вовремя написания кода. В какойто момент в Notepad++ нажимаешь сохранить и вдруг выясняешь что файл удалился и недоступен, и система начинает настойчиво ругаться что у вируса высший уровень опасности и срочно все удалить.
А сколько хостов чисто статистически потеряли сегодня файлы и сколько сайтов или хостов сегодня умерло? Изза опечатки одного из девелопера команды дефендера. Одна ошибка и по всему миру у людей сканер начинает без спроса блокировать и убирать файлы.
Папку IIS ставить в игнор тоже не очень умно, учитывая что могут быть Upload механизмы.
Порой цена ущерба от червя гараздо ниже чем ущерб от самой защиты (сарказм)Andropolon
16.08.2016 05:08Windows Defender на Windows 10 какой-то особенный.
Возможно, на нем другие базы или другая эвристика.
Мы тоже сталкиваемся с его проблемами, например, при создании новых инсталляторов. Стабильно новые инсталляторы считаются вирусами, при этом они созданы на разных компах, разными компиляторами, и после отправки в MS по вышеуказанному адресу, спустя сутки, антивирус перестает ругаться.
Предлагаю объединить наши усилия и не сдаваться, мы параллельно с ними общаемся по похожему вопросу.IhorL
16.08.2016 05:18+1чисто уже любопытно из принципа.
какова же там логика эвристики что сканер находит среди кучи текста раскиданные 4ре строки, внутри любого текста
Function S Execute S End Function For i To Len T
и принимает это за червя. Это явно не шаблон и очень похоже на регулярку. Но Текст сильно простой чтобы было за что зацепится логикой. А вики по вирусу, пояснила что это код который генерирует вирус в виде автолоадера — вот тут моя эвристика в полном тупике.Maccimo
16.08.2016 10:07>> какова же там логика эвристики что сканер находит среди кучи текста
Разве того, что это код на VBScript недостаточно?
Я, конечно же, шучу, но неужели там нет поддержки хотя бы того же более лаконичного и популярного JS?
> 4ре
«4», просто «4».
Revertis
16.08.2016 07:43+3Сейчас проверил — на Win 7 x64 Microsoft Security Essentials тоже сразу после сохранения файла говорит, что действий не требуется, и через секунд 5 удаляет файл с этими четырьмя строками.
Idot
16.08.2016 21:57На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине.
Помнится была новость о том как обновление Десятки, однажды, снесло ряд программ как «несовместимые».
IhorL
16.08.2016 05:27+5Update:
перебирая различные варианты в поиске ключа за который зацепился сканер, нашел что неважно какое название функций и какие тексты. Главное наличие Function + End Function с Execute внутри и даже неважно с какими параметрами, и дополнительно чтобы далее где-то был цикл. Всего два условия, которых достаточно логике сканера чтобы удалить все что угодно. Под такие критерии статистически может попадать много файлов.
Как-то довольно таки примитивно для антивирусной программы по таким критериям определять вирус. Еще и ставить ему высший приоритет опасности.vilgeforce
16.08.2016 09:40Типичный фолс, когда криворукий разработчик эвристика считает что такое бывает только в троях. Детект *.gen говорит, я думаю, как раз об эвристике. Смущает меня только то, что у них не было ничего подобного в коллекции чистых файлов (или у них ее вообще нет?!) и время реакции на фолс. Скорее всего, не вы одни такие и заявок должно быть много…
PsyHaSTe
16.08.2016 13:36+1Возникала похожая проблема при компиляции в студии проекта. Оказалось, дефендер начинал сканировать сам msbuild, студию и все прочее, и только после проверки разрешал совершить компиляцию. Если б мне на SO не ответили, никогда бы не подумал :)
IhorL
16.08.2016 13:41+1Сканер лочит файлы, а проверка файлов идет в рилтайм у него. Вот и выходит, что пока Студия генереит файлы, Дефендер тутже идет следом и реагирует на события. Залочил и удалил файл, вот Студия и осталась в пролете.
Долго думает (сарказм)
Вот бы Дефендер стоял на всех машинах вшитый намертво — тогдабы никто не смог скомпилировать вирус. Уникальное решение избавить мир от писателей вирусов.
Stalker_RED
16.08.2016 07:09+5Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные.
Если этот «антивирус для домохозяек» не оставляет выбора действий — удалите его.izzholtik
16.08.2016 12:52+1Забавно, но если речь идёт о Win 10, то он не удаляется штатными средствами, а на home-версии отключается только временно.
suratovvlad
16.08.2016 16:52Поставьте другой антивирус, а потом просто отключите только что поставленный. В итоге не будут работать оба. У меня, например, Касперский такое позволяет.
zirix
17.08.2016 02:07Отключить можно этим:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
«DisableAntiSpyware»=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
«DisableRealtimeMonitoring»=dword:00000001
Кавычки только исправьте на обычные.
На всякий случай: открыть блокнот > вставить текст > сохранить как off.reg > запустить > перезагрузиться
Zapped
17.08.2016 11:06а получится запретить запуск, например, .exe-шника Defender'а правами NTFS?
Upd. а, не обновил страницу со вчерашнего вечера )) уже дали рецептов
centur
16.08.2016 07:42+18Отличный способ избавиться от VB на планете!
IhorL
16.08.2016 13:17Смешно но неверно.
Я думаю можно и на JS подобрать вариант, ведь Винда поддерживает скриптовые части на обоих вариантах, JS и VB
greendimka
16.08.2016 21:49-1Избавление от VB неумение программирования не компенсирует, как бы вам не хотелось.
centur
17.08.2016 09:53+1Хмм, и где вы нашли в моем комментарии что я что-то хочу этим компенсировать? Особенно пресловутое неумение программирования…
Вы очень пространно интерпретировали мой комментарий, похоже сильно им оскорбились (VB-погроммист?) и решили завуалировать ответное оскорбление в приписанных мне желаниях и отсутствиях компетенций.
Ну что ж, очень показательно.
А я, случайно, младенцев по ночам в вашей интерпретации не ем ??
CrazyNiger
16.08.2016 08:06Что-то последнее время часто у мелкомягких косяки по обновлениям. За год обновления семерки дважды ломали работу виртуальных машин, до выхода очередного обновления через три дня. Так что теперь свежие обновления предпочитаю не ставить, только через неделю.
dmitry_dvm
16.08.2016 09:49Для этого в десятку добавили опцию «Отложенные обновления».
melt
16.08.2016 12:31Думаю, что у отложенных обновлений какой-то другой принцип. Ибо в начале месяца вышел Anniversary Update, в настройках включены отложенные обновления, однако в Patch Tuesday прилетели обновления, но не до Anniversary, а просто 10586.545. Соответственно «кривые обновления», которые могут что-то поломать, прилетают сразу.
IhorL
16.08.2016 13:36В новостных лентах только слышишь время от времени, как после очередного обновления у всех легли машины.
В отчет от Microsoft идут порой идиотские ответы и бесконечно резиновое время ожидания.
Из самых последних — это вот глобальный Anniversary Update, как раз обсуждали с напарником новость, как у пользователей намертво зависают системы. Мелкомягкие нашли причину — из области фантастики, когда пользователи часть софта ставили не на первый SSD а на дополнительный HDD. И вот тут совет от гиганта просто выбил меня со стула: «Загрузитесь в безопасный режим и перенесите софт на основной SDD». КАК? если у пользователей стоит SSD и они ставили на дополнительный, это значит что места нету там физически.
Ну просто ответ на от***итесь, а еще лучше удалите все а мы типа пока подумаем что делать. Отношение какбы совсем неуместное.
Видимо Microsoft подслушивали в Skype нас, и сразу прямо подруку, дефендер залочил и грохнул файл в котором работал. (сарказм)
alaska332
16.08.2016 08:18+6У дефендера нет эвристики, только сигнатуры. Поэтому срабатывает на вашем наборе текста.
PS: Антивирус вообще не нужен. Никакой. Бесполезная трата денег, ресурсов клмпьютера и моральных сил.vilgeforce
16.08.2016 09:40+1*.gen не эвристик ли?
alaska332
16.08.2016 09:57+1«Эвристика».
Компании, которые зарабатывают на малваре и прочем криптуют свой вредоносный код по нескольку раз в день и проверяют на последних обновлениях всех антивирусов.
Именно это и представляет угрозу, и именно от этой угрозы ни какой антивирус вам не спасет.
Накатывайте последние обновления на систему и браузер, не запускайте exe файлы из интернета.
Все.iandarken
18.08.2016 16:19Именно для этого часть детектов в нормальных антивирусах срабатывает только при определенных условиях, а не просто при он-деманд скане.
all_777
16.08.2016 12:52Дома то ладно, но что прикажете использовать тем же бухам на рабочих компах и т.п.? Или здесь будет фразы про политики, запрет флешек, настроенный почтовый сервер? Не холивара ради, мне просто правда интересно.
alaska332
16.08.2016 12:55Не знаю.
Без повышения общего уровня пользователя — только репрессивные методы.
Лучше всего терминал ;-), и обслуживать проще.all_777
16.08.2016 20:11Терминал хорошая вещь, но ведь не все можно перенести в терминал (например, некоторые интернет банки или программы с графикой (то же visio)).
Увы, без антивируса никак. Белый список тоже так себе выход.alaska332
16.08.2016 20:17В термиинал можно перенести любой офисный софт, визио — вообще не проблема.
Белый списки — кал, будете создавать себе лишние проблемы?
Ради чего, чтобы идиотский бесполезный антивирус не мешал работать?
Это странное решение.
mayorovp
16.08.2016 13:48Белые списки для запуска программ...
IhorL
16.08.2016 13:52если будете успевать за обновлениями. В какойто момент вдруг то что в белом списке может оказаться вредоносным. Кто его знает на что способен девелопер к примеру в понедельник после пати если тестер все это пропустит в паблик.
mihmig
16.08.2016 08:22Не холивара ради, но:
Использовать в продакшене ЯП, который для доступа к двоичным файлам использует методы для работы с БД, это мне кажется неправильно…Zolushok
16.08.2016 12:29когда задача ставится как «соорудить костыль, который запускается на всём, включая древние виндовсы, без установки дополнительного софта», вопросы правильности отходят на второй план.
n01d
16.08.2016 09:09Может, я чего-то не понимаю, но дефендер не удаляет файлы, а помещает на карантин, откуда их можно легко восстановить и добавить в исключения. Буквально на днях у меня дефендер ругался на подписанный powershell-скрипт (пока не подписал — не ругался). Элементарно восстановил из карантина и добавил в исключения. Это я про Win10, на 7-ке всегда его отключал.
IhorL
16.08.2016 13:14В этом конкретном случае он мгновенно блокирует файл и удаляет его содержимое. Файл ты видишь и видишь его размер, но содержимое при просмотре оказывается пустым. И произошло то это в папке IIS, т.е. Сканер просто удалил скриптовые файлы веб сервера уложив продукт.
Это просто произошло какимто неземным чудом в момент моего удаленного редактирования файла на сервере. А так бы мог узнать уже спустя время.
И вопрос чисто любопытства ради — сколько машин пострадало от такого действия.
alaska332
16.08.2016 10:15+1Отключить Windows Defender можно так:
gpedit.msc
Local Computer Policy/Computer Configuration/Administrative Templates/Windows Components/Windows Defender/Turn off Windows Defender ---> Enable
sluge
16.08.2016 12:22По моему уже после первой проверки на virustotal было ясно что это false positive срабатывание. Зачем вы вообще этот Defender держите? Он дырявый как решето.
varnav
16.08.2016 12:28+2обновился 8/15/16 до версии
В 15-м месяце года всякое возможноIhorL
16.08.2016 12:59-6надеюсь это сарказм был?
все компы и сервера в US стандарте, в привычке уже все делать в их форматеvarnav
16.08.2016 13:07+9Некорректно писать статью на русском языке для русскоязычной аудитории, но указывать в ней даты и единицы в чужих форматах. Что если бы это было не очевидно американское 8/15/16, а какое-нибудь 6/3/16 — тогда что нужно думать, что это 6 марта, или третье июня?
alaska332
17.08.2016 11:17Если уже быть совсем умным, то в нашей нотации разделитель даты — "." а не "/".
IhorL
17.08.2016 19:38+1это настолько принципиально было чтобы столько шпал накидать?
я в начале статьи написал полностью дату, а дальше в тексте скопировал с экрана цифры Дефендера один-в-один как видел на экране. Я допустил настолько грубую ошибку, что статья потеряла смысл или когото чемто обидел? Сама статья получила +24 зато изза формата даты который я скопировал с экрана вместе с номером ревизии обновления и получил -6
Порой, наблюдая за комментариями к статьям на хабре, замечаешь как порой, критикам абсолютно неважно о чем статья, все внимание переключается на буквально какоето одно слово и понеслась.
Чисто риторический вопрос — если бы я вставил скриншот с экрана с датами и номером ревизии — тоже бы заминусили что для скриншот с англоязычной ОСь и это грубейшая ошибка?varnav
18.08.2016 17:44А мне как то карму слили за совет играть на геймпаде в игру, сделанную под геймпад.
Но вообще да, это так же принципиально как писать и говорить грамотно.
Zolushok
16.08.2016 12:42+1У нас в конторе на VBSript наработано достаточно большое количество полезных мелочей.
И увы, чем дальше, тем чаще антивирусы сходят с ума при виде скриптов, делающих что-то сложнее, чем msgbox «hello world!».
И не только Windows Defender.
В разгаре агония самой концепции «антивирусов», производители этого анахронизма в панике всё больше усложняют алгоритмы поиска угроз, увеличивая тем самым количество ложных срабатываний и усложняя поиск «что же антивирусу на этот раз не понравилось».IhorL
16.08.2016 13:05Логика понятна в приципе их работы.
Был вирус — он генерил автопогрузчики определенные. Нашли и вписали в логику. Но!.. если уж пишите логику, то поидеи если нету самого вируса, то незачем реагировать на все подряд.
Ведь если это чисто текстовый файл то он априори не вредоносный, его вредоносным может сделать сам троян, но ведь если самого трояна нету то и орать что какойто файл в котором есть слово function опасен и уложит вашу систему.
Как по мне то тут лень или криворукость.
Вот только, в последнее время гиганты типа Микрософт, Гугл, Яблоко… допускают себе ошибки от которых пользователи и даже компании, попадают на денежные затраты и проблемы. Ну подумаешь ошиблись. Недельку подождите, может мы исправим.
Vlad_fox
16.08.2016 12:52Windows Defender — это своего рода заглушка, которая худо-бедно защищает машину при начальной установке.
Для нормальной работы необходимо установить нормальный антивирус. Есть хорошие как платные так и бесплатные варианты.
Мало того что эта заглушка плохо работает как антивирус (мало ловит, ложные срабатывания), то еще и сильно жрет системные ресурсы.IhorL
16.08.2016 13:08+3Да нету нормальных априори. Это из области холивара кто лучше.
Каждый из них несет проблему в той или иной период времени.
Дефендер хотябы родной и является частью системы, обновления идут десятками в день.
Ставить Симантек на сервер потеряв огромный кусок производительности? ДрВеб чтоли? Нортон?
Спорить можно до крови, но каждый из решений приносит время от времени головную боль.dimmount
16.08.2016 14:09Обычно антивирус противопоказан на сервере, кроме файлового. Серверные версии включают только файловый компонент.
Какова причина необходимости антивируса на сервере приложений?mayorovp
16.08.2016 14:24Так ведь файловый-то скрипты и удалял...
dimmount
16.08.2016 14:49это понятно. Вопрос — зачем он там? Я понимаю, когда на сетевые шары валят кучу непотребства. Какой вирусной угрозы ждут на сервере приложений с iis? Ведь даже в случае взлома сервера и заражения скриптов — антивирус как-раз и потрет собственно скрипты.
mayorovp
16.08.2016 15:03- Сисадмины не разрешают отключать;
- Безопасники запрещают отключать;
- Никто не знает как его выключить;
- Никто не задумывался о том, что там антивирус по умолчанию включен
А так-то я согласен, антивирусу на сервере не место
IhorL
16.08.2016 15:20+1Даже больше можно теперь говорить — на сервере место защиты от обновлений и всяких защит. Т.е. блокировка любых попыток от Микрософта чтото обновить или улучшить.
Хотя и звучит это очень некрасиво, производитель серверного продукта сам опасен для этого сервера своими действиями.
playnet
17.08.2016 20:433 говорит о некомпететности админов (это именно их компетенция, а также удаления чего-либо «не там»), а 4 позволяет просто молча выключить, он же и так «как бы выключен».
IhorL
16.08.2016 13:49+1Аллилуя братья и сестры, Microsoft таки отреагировала на запрос. Я уже даже не надеялся на это.
https://www.microsoft.com/security/portal/submission/submissionhistory.aspx?SubmissionId=88F59521-AB6F-4EC1-9218-2B9D3E3DC742
Таки почти спустя 16 часов они рассмотрели запрос и обновили Дефендер.
v1.225.4071.0 перестал реагировать. Час назад предыдущее обновление еще ругалось, пока пытался найти аналог в JS варианте.
Радует что реагируют, огорчает что скорость гигантски медлительна для гиганта. Можно предположить что на 16 часов с большой вероятностью, были проблемы и пропали скрипты или машины стояли с отключенным дефендером.
Маааленькая опечатка программиста и лажа тестера — последствия могут быть колоссальны.katamathesis
16.08.2016 20:41+2Ну так им необходимо проверить заявку, разобраться, найти решение и заимплементить его. 16 часов это вполне приемлимый вариант.
Danik-ik
16.08.2016 16:52+1Так вот для чего меня учили категорически избегать функций, выполняющих произвольную строку! На них распространяется презумпция виновности!
Idot
17.08.2016 06:18Я сейчас подобный глюк представил у автоматического дрона из программы автоматического поиска террористов по их поведению https://en.wikipedia.org/wiki/SKYNET_(surveillance_program)
Funbit
17.08.2016 09:51+1О да, судя по результатам «Windows Defender false positive» количество подобных случаев растет, причем в основном в этом году.
Пару месяцев назад у нас был похожий случай, в .NET dllке стал находиться некий MSIL/Injector.JC, который поудалял часть нашего софта с компьютеров юзеров. В дллке был всего лишь безобидный код работы с реестром и только в режиме чтения. Базу сигнатур исправили только через неделю, причем пришлось искать прямые связи до конкретных людей. Дать бы по башке тем, кто так регистрирует сигнатуры.
IhorL
17.08.2016 12:49+1Ответ Funbit: (промахнулся)
Вот такие новости и напрягают каждый раз.
Вроде бы как, Microsoft занимается выпуском систем не только для «домохозяек», по личному опыту вижу как большие корпоративные клиенты используют их софт. И как вот на фоне этого, можно себе позволять выпускать глюки которые ломают целые системы и сети.
Ведь к примеру у строительной корпорации в Штатах, у которых по 20-50 Дивизионов с тысячами персонала в каждой, плюс субподрядчики… и вот в какойто момент падает весь продукт и днями или неделями все ищут костыль чтобы обойти очередной патч или обновление.
В итоге все это приводит к всеобщему мнению, что нужно опасаться патчей или обновлений от Microsoft, сильнее чем сами дыры и вирусы. Да и как можно выпустить глюк который сломал все по всему миру, и позволить себе дни а то и недели, чтобы это исправить.
Я теперь понимаю психов в Штатах. Поначалу их не понимал. В больших компаниях все компьютеры пользователей, клонированы с одного образа и настроены, и в них заблокировано максимально все. Даже туллбар в IE не включить и не поменять, в избранное даже не добавить. На уровне «полиси» залочено абсолютно все, и чтобы чтото установить или поменять, уходит колоссальное время и силы. Их админы уперто стоят на своем и не дают ничего менять, и все обновления естественно заблокированы. Получается их маразм построен вот на таких последствиях, когда чья-то опечатка или ошибка, всю компанию может поставить в проблему и ударить по карману.
Печально все это.Funbit
17.08.2016 14:04+1Очень печально, да. С одной стороны я за то, чтобы софт был свежим, слишком много находится уязвимостей (в любом софте, не только в винде), но страх что что-то сломается начинает превалировать… И ладно если речь идет о домашней машине, но вот когда какой-то апдейт начинает удалять твой собственный софт на ЧУЖИХ компьютерах по ошибке (причем за эту ошибку никому ничего не будет, а хорошо бы уволить), расплачиваться приходится тебе…
Vlad_fox
17.08.2016 14:13-1повторюсь — дефендер — хорошее джентельменское средство защиты от вирусов для свежеустановленной ОС, оно защитит систему до того времени, которое нужно на выкачивание и установку НОРМАЛЬНОГО антивируса.
хотя для подавляющего числа домо[хозяек|хозяев|прочих непродвинутых юзеров] и этого средства будет вполне достаточно, им не требуется безотказность и надежность 99,999%.
для серверов же, особенно продакшн, надо подбирать необходимую защиту, выбрать обычно есть из чего.
Естественно надо учитывать особенности политики безопасности в организации, бюжеты, требования к надежности и бытродействию и т.д… из-за обилия этих влияющих факторов нет общей рекомендации антивирусного продукта.IhorL
17.08.2016 17:08что в вашем понимание «нормальный антивирус».
Я вижу как на каждом ПС и ноуте купленном в штатах — стоит сразу Симантик или Нортон, которые сразу сьедают львиную долю ресурсов, как памяти так и CPU.
Как для меня лично, то Дефендер менее прожорлив. Он является частью кернела, и делает свою работу незаметно для тебя. Частота и кол-во обновлений тоже говорит о многом. А заменить его чемто с параноидальным анализом который безумно лочит все?
Если взять историю каждого антивирусника то почти у всех будет на счету подобные ошибки и более страшные проблемы. Идеальных нету.
Сама тема этой истории никоем образом не шла о том что Дефендер такой галимый и срочно его все меняйте на ДрВеб. Речь шла о том что софтварные компании такого уровня, позволяют себе такие «ошибки» которые могут просто взять и удалить информацию, или обрушить продукт на тысячи ПС.
И не только Microsoft, тотже Google тоже относится порой к пользователям как халявной группе тестеров.
Самсунг тоже грешит этим, выпускает сначала сырой продукт для третих регионов, Вьетнам, Сербия, Казахстан и т.д. ждет результатов, и только потом проверенный и обкатанный софт уже пускает выше. Тупо халявные тестеры за их же деньги. И такая тенденция растет.Vlad_fox
18.08.2016 10:58под НОРМАЛЬНЫМ инструментом (антивирусом в данном случае) я понимаю такой, что соответствует нормам, которые приняты для задачи.
1. если задача звучит так — обеспечить НАДЕЖНУЮ антивирусную защиту серверов и ПК в компании — нормой является:
— возможность централизованного контроля за активностью антивирусных экранов на машинах
— опционально — возможность обновления из локального сервера обновлений (обновления вначале тестируются на тестовой системе, потом тиражируются на продуктовую)
— опционально — возможность гибко настроить политики экранов для разных групп машин (для серверов можно отключить ряд экранов, уменьшить уровень эвристики)
при этой норме дефендер и близко не годится.
2. если задача нормирована как — хочу чтоб на станции стоял антивирус, имеющий хорошие рейтинги и бесплатно:
смотрим том актуальных антивирусов, выбираем по вкусу.
и тут дефендер сразу в топку, ни в одном обзоре он не входит и в 5-у лучших.
3. если задача не нормирована вообще (владелица машины не в курсе что такое антивирус) или нормирована так: на машине нужен антивирус, и чтоб вообщ ничего не искать и не делать
вот для этого случая. достаточно частого, кстати, дефендер и предназначен. Но при такой нормировке нечего пинять на ложные срабатывания при разработке скриптов — тут сериал смотрят и игры гоняют а не скрипты пишут.
единственный жирный плюс дефендера — он уже есть, бесплатно, и как-то что-то защищает. Для многих, кто не умеет/не хочет/не любит думать — этот плюс решающий.
bissq
17.08.2016 20:25А чего на дефендера все жалуются? Мне помнится у каждого антивиря были проблемы с удалением полезных и нужных файлов, это скорее норма.
Уж один касперыч сколько нервов одно время съедал.
Кстати, только что сам создал текстовый файлик с этими строчками — действительно дефендер начинает паниковать))IhorL
17.08.2016 20:27обновите Дефендер — уже вчера они выпустили патч. Покрайней мере после v1.225.4071.0 перестало ругаться. Хотя может они снова чтото сломали?
IhorL
текст еще удалось немного почистить:
—
Function S
Execute(S)
Function B
Set o = CreateObject
o.Type = o
o.CharSet = 0
o.Open
o.WriteText Text
o.Position = 0
o.Type = o
o.Position = 0
B = o.Read
Set o =
End Function
For i = 1 To Len(Text)
— все еще Defender обнаруживает Worm и удаляет все файлы при нахождении кусочков или наборов из данного примера и неважно что между этими строками будет
IhorL
продвинулся еще дальше
MpCmdRun.exe -Scan -ScanType 3 -File c:\test.txt
Scanning c:\test.txt found 1 threats.
Worm:VBS/VBSWGbased.gen
==========
Function S
Execute S
End Function
For i To Len(Text)
=========
что такого в этом наборе?
Taras-proger
Ну что Вы от мелкомягкого вируса то хотите? Если он перестанет удалять файлы и создавать проблемы, то перестанет быть вирусом и мелкософту придётся прекратить его «поддержку».