# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Антивирусу Касперского не понравился explorer.exe

## ALEX(XX)

В течение пары часов пользователи Антивируса Касперского 6.0/7.0 и Kaspersky Internet Security 6.0/7.0 получали обновление антивирусной базы, приводящее к ложному опознаванию explorer.exe как Worm.Win32.huhk.c и переносу его в карантин, cообщает bugtraq.ru. Проблема затронула только пользователей XP с июльским обновлением explorer.exe. Лаборатория Касперского опубликовала инструкцию по восстановлению explorer.exe из карантина и принесла пользователям извинения за доставленные неудобства. Предыдущая проблема с обновлениями АК, после которой было обещано радикально изменить процесс их тестирования, случилась менее недели назад. 
Источник

uinc.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rubin

ИМХО темку надо в "Ложные срабатывания"...

----------


## DVi

Кстати, вот здесь Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995

----------


## aintrust

> ... Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995


Тут что-то странное... =)

Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.
Во-вторых, Гостев говорит о немного глючном IE (ну, про это уже многие знают), а фолсы были на explorer.exe (кстати, Дэйвид Эмм тоже говорит об explorer.exe). Какая связь?

----------


## DVi

Вы спрашиваете о связи между iexplore.exe и explorer.exe?
Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей. Или я не прав?




> Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.


Кстати, да, тут я ввел присутствующих в заблуждение, сам невнимательно почитав оригинальный пост.

----------


## aintrust

Давайте еще раз, более детально... =)

Насколько я понимаю, речь идет о ложном детектировании конкретно файла _explorer.exe_, а не тех системных компонент, что вызываются при его запуске (или запуске IE). Гостев же говорит об Internet Explorer'е (т.е., о файле _iexplore.exe_) и о его ложном детекте - получается, что он говорит о каком-то другом кейсе (файлы-то ведь разные!)? 

Вам там ближе - может просто спросите непосредственно у Гостева, что он имел ввиду?

----------


## Geser

С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?

----------


## aintrust

Кстати, я проверил, обновляется ли файл _explorer.exe_ при последнем обновлении IE. Оказалось, что нет, не обновляется. Получается, что Гостев говорит вообще о чем-то другом... 

Или... ? =)

----------


## DVi

... или Гостев что-то перепутал.

----------


## Макcим

> С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?


На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.

----------


## pig

> Вы спрашиваете о связи между iexplore.exe и explorer.exe?
> Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей.


Если речь за Cumulative Security Update, то обновляются как раз библиотеки движка IE, а запускалки в обновление не входят. Explorer.exe может заменяться в обновлениях шелла. И то не во всех.

----------


## Geser

> На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.


Как минимум можно проверить на всех файлах входящих в состав операционки. Даже если взять все версии за всю историю, это вполне реально для нынешних мощностей.

----------


## borka

> ... или Гостев что-то перепутал.


Нет, ничего он не перепутал. Он сослался на последний баг микрософта с апдейтами, когда после них ИЭ переставал работать.

----------


## aintrust

@ borka

Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.

----------


## DVi

Да, действительно перепутал.
Задетекченный explorer.exe был из летнего апдейта Винды: http://www.kaspersky.ru/technews?id=203178919

----------


## borka

> @ borka
> Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.


Угу... Значит, я неправильно его понял.

----------

