# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Dr.Web Cure-It v4.44.1 и Smc.exe

## SuperBrat

Dr.Web CureIt! выпущен в субботу 17 ноября 2007 г. 22:40:08.



> [Проверка памяти] Процесс в памяти: C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe:3204 инфицирован Win32.SQL.Slammer.376 - обезврежен


Smc.exe

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.

----------


## borka

> этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.


Версию Доктора мы знаем, а какова Ваша версия?

----------


## SuperBrat

borka, так поделитесь. Мне лично они так и не отписали.

----------


## borka

> borka, так поделитесь. Мне лично они так и не отписали.


В смысле?

----------


## SuperBrat

> Версию Доктора мы знаем


Или вы про версию DVi?

----------


## borka

> Или вы про версию DVi?


Я как раз хотел узнать мнение Виталия по этому вопросу. Версия Доктора озвучена на его форуме: здесь и здесь. Было еще что-то на форуме.ру, но сходу не нашел.

----------


## DVi

borka, честно говоря, я не понял вопроса.
Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен. Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.

*Добавлено через 3 минуты*

Оффтоп: О как... Зачем-то упомянули мой ник в этом топике

----------


## borka

> borka, честно говоря, я не понял вопроса.
> Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен.


Нет, я так не считаю.  :Smiley: 




> Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.


Ведь убийство процесса файерволла происходит не всегда. Значит, есть какие-то условия возникновения детекта. Ну, а если в программе найден код вируса, то что с ней делать? А очистка памяти, как представляется, эту проблему решила бы.




> Оффтоп: О как... Зачем-то упомянули мой ник в этом топике


Хм... Действительно...

----------


## DVi

> Ну, а если в программе найден код вируса, то что с ней делать?


Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным. 
Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.

*Добавлено через 4 минуты*

P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).

----------


## borka

> Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным. 
> Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.


Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...




> P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).


Ну, кто и что блеклистит, я не знаю. Вполне возможно, это адрес (айпишник) атакующего. Да и зачем хранить сигнатуру?

----------


## DVi

> Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...


А что предлагает Доктор - убить процесс SQL-сервера?

----------


## Geser

Да, убиение процесса SQL-сервера может быть очень черевато.
Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.

----------


## Зайцев Олег

> Да, убиение процесса SQL-сервера может быть очень черевато.
> Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.


Вот в том-то и загвоздка, проблема в том, о чем писал DVi чуть выше - так как нет жесткого деления памяти на память данных и память для исполняемого кода, то в качестве злобного вируса может выступить любая программа, в памяти которой найдется сигнатура. У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой

----------


## borka

> А что предлагает Доктор - убить процесс SQL-сервера?


Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?

*Добавлено через 1 минуту*




> У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой


А как ругался в процессе срабатывания?

----------


## SuperBrat

borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен. Но осадок в отношении Dr.Web остался.

----------


## Geser

> Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?


Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.

----------


## borka

> borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен.


Убить как раз смог. Раз процесс перезапустился.

*Добавлено через 35 секунд*




> Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.


Пропускать вирусы менее опасно?

----------


## ALEX(XX)

> Пропускать вирусы менее опасно?


А если повредилась важная БД, для которой ещё не была сделана резервная копия?

----------


## RiC

> А если повредилась важная БД, для которой ещё не была сделана резервная копия?


Если нет резервных копий, значит не важная  :Smiley:  

Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.

----------


## borka

> Если нет резервных копий, значит не важная


+1.




> Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.


На своем компе - разумеется. Я предпочитаю ключи командной строки отключению чего-либо в инишнике.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

