Dr.Web CureIt! выпущен в субботу 17 ноября 2007 г. 22:40:08.

[Проверка памяти] Процесс в памяти: C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe:3204 инфицирован Win32.SQL.Slammer.376 - обезврежен

Smc.exe (http://ifolder.ru/4181733)

этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.

этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.
Версию Доктора мы знаем, а какова Ваша версия?

borka, так поделитесь. Мне лично они так и не отписали.

borka, так поделитесь. Мне лично они так и не отписали.
В смысле?

Версию Доктора мы знаем
Или вы про версию DVi?

Или вы про версию DVi?
Я как раз хотел узнать мнение Виталия по этому вопросу. Версия Доктора озвучена на его форуме: здесь (http://forum.drweb.com/viewtopic.php?t=5449) и здесь (http://forum.drweb.com/viewtopic.php?t=6158). Было еще что-то на форуме.ру, но сходу не нашел.

borka, честно говоря, я не понял вопроса.
Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен. Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.

Добавлено через 3 минуты

Оффтоп: О как... Зачем-то упомянули мой ник в этом топике (http://forum.drweb.com/viewtopic.php?t=5449)

borka, честно говоря, я не понял вопроса.
Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен.
Нет, я так не считаю. :)


Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.
Ведь убийство процесса файерволла происходит не всегда. Значит, есть какие-то условия возникновения детекта. Ну, а если в программе найден код вируса, то что с ней делать? А очистка памяти, как представляется, эту проблему решила бы.


Оффтоп: О как... Зачем-то упомянули мой ник в этом топике (http://forum.drweb.com/viewtopic.php?t=5449)
Хм... Действительно...

Ну, а если в программе найден код вируса, то что с ней делать?

Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным.
Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.

Добавлено через 4 минуты

P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).

Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным.
Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.
Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...


P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).
Ну, кто и что блеклистит, я не знаю. Вполне возможно, это адрес (айпишник) атакующего. Да и зачем хранить сигнатуру?

Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...
А что предлагает Доктор - убить процесс SQL-сервера?

Да, убиение процесса SQL-сервера может быть очень черевато.
Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.

Да, убиение процесса SQL-сервера может быть очень черевато.
Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.
Вот в том-то и загвоздка, проблема в том, о чем писал DVi чуть выше - так как нет жесткого деления памяти на память данных и память для исполняемого кода, то в качестве злобного вируса может выступить любая программа, в памяти которой найдется сигнатура. У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой

А что предлагает Доктор - убить процесс SQL-сервера?
Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?

Добавлено через 1 минуту


У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой
А как ругался в процессе срабатывания?

borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен. Но осадок в отношении Dr.Web остался.

Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?



Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.

borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен.
Убить как раз смог. Раз процесс перезапустился.

Добавлено через 35 секунд


Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.
Пропускать вирусы менее опасно?

Пропускать вирусы менее опасно?
А если повредилась важная БД, для которой ещё не была сделана резервная копия?

А если повредилась важная БД, для которой ещё не была сделана резервная копия?
Если нет резервных копий, значит не важная :)

Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.

Если нет резервных копий, значит не важная :)
+1.


Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.
На своем компе - разумеется. Я предпочитаю ключи командной строки отключению чего-либо в инишнике.