Dr.Web CureIt! выпущен в субботу 17 ноября 2007 г. 22:40:08.
Smc.exe[Проверка памяти] Процесс в памяти: C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe:3204 инфицирован Win32.SQL.Slammer.376 - обезврежен
Dr.Web CureIt! выпущен в субботу 17 ноября 2007 г. 22:40:08.
Smc.exe[Проверка памяти] Процесс в памяти: C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe:3204 инфицирован Win32.SQL.Slammer.376 - обезврежен
Опыт — это слово, которым люди называют свои ошибки.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.
Версию Доктора мы знаем, а какова Ваша версия?Сообщение от DVi
---
С уважением,
Borka.
borka, так поделитесь. Мне лично они так и не отписали.
Опыт — это слово, которым люди называют свои ошибки.
В смысле?
---
С уважением,
Borka.
Или вы про версию DVi?Версию Доктора мы знаем
Опыт — это слово, которым люди называют свои ошибки.
borka, честно говоря, я не понял вопроса.
Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен. Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.
Добавлено через 3 минуты
Оффтоп: О как... Зачем-то упомянули мой ник в этом топике
Последний раз редактировалось DVi; 18.11.2007 в 22:10. Причина: Добавлено
Нет, я так не считаю.
Ведь убийство процесса файерволла происходит не всегда. Значит, есть какие-то условия возникновения детекта. Ну, а если в программе найден код вируса, то что с ней делать? А очистка памяти, как представляется, эту проблему решила бы.
Хм... Действительно...
---
С уважением,
Borka.
Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным.
Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.
Добавлено через 4 минуты
P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).
Последний раз редактировалось DVi; 18.11.2007 в 22:40. Причина: Добавлено
Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...
Ну, кто и что блеклистит, я не знаю. Вполне возможно, это адрес (айпишник) атакующего. Да и зачем хранить сигнатуру?
---
С уважением,
Borka.
А что предлагает Доктор - убить процесс SQL-сервера?
Да, убиение процесса SQL-сервера может быть очень черевато.
Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.
Вот в том-то и загвоздка, проблема в том, о чем писал DVi чуть выше - так как нет жесткого деления памяти на память данных и память для исполняемого кода, то в качестве злобного вируса может выступить любая программа, в памяти которой найдется сигнатура. У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой
Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?
Добавлено через 1 минуту
А как ругался в процессе срабатывания?
Последний раз редактировалось borka; 19.11.2007 в 13:28. Причина: Добавлено
---
С уважением,
Borka.
borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен. Но осадок в отношении Dr.Web остался.
Опыт — это слово, которым люди называют свои ошибки.
Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.
Убить как раз смог. Раз процесс перезапустился.
Добавлено через 35 секунд
Пропускать вирусы менее опасно?
Последний раз редактировалось borka; 19.11.2007 в 14:11. Причина: Добавлено
---
С уважением,
Borka.
А если повредилась важная БД, для которой ещё не была сделана резервная копия?
Left home for a few days and look what happens...
Если нет резервных копий, значит не важная
Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.
Последний раз редактировалось RiC; 20.11.2007 в 09:07.
Ваши права в разделе
Ответить с цитированием
