В течение пары часов пользователи Антивируса Касперского 6.0/7.0 и Kaspersky Internet Security 6.0/7.0 получали обновление антивирусной базы, приводящее к ложному опознаванию explorer.exe как Worm.Win32.huhk.c и переносу его в карантин, cообщает bugtraq.ru. Проблема затронула только пользователей XP с июльским обновлением explorer.exe. Лаборатория Касперского опубликовала инструкцию по восстановлению explorer.exe из карантина и принесла пользователям извинения за доставленные неудобства. Предыдущая проблема с обновлениями АК, после которой было обещано радикально изменить процесс их тестирования, случилась менее недели назад.
Источник (http://bugtraq.ru/rsn/archive/2007/12/17.html)

uinc.ru (http://www.uinc.ru/news/sn9186.html)

ИМХО темку надо в "Ложные срабатывания"...

Кстати, вот здесь Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995

... Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995
Тут что-то странное... =)

Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.
Во-вторых, Гостев говорит о немного глючном IE (ну, про это уже многие знают), а фолсы были на explorer.exe (кстати, Дэйвид Эмм тоже говорит об explorer.exe). Какая связь?

Вы спрашиваете о связи между iexplore.exe и explorer.exe?
Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей. Или я не прав?


Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.
Кстати, да, тут я ввел присутствующих в заблуждение, сам невнимательно почитав оригинальный пост.

Давайте еще раз, более детально... =)

Насколько я понимаю, речь идет о ложном детектировании конкретно файла explorer.exe, а не тех системных компонент, что вызываются при его запуске (или запуске IE). Гостев же говорит об Internet Explorer'е (т.е., о файле iexplore.exe) и о его ложном детекте - получается, что он говорит о каком-то другом кейсе (файлы-то ведь разные!)?

Вам там ближе - может просто спросите непосредственно у Гостева, что он имел ввиду?

С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?

Кстати, я проверил, обновляется ли файл explorer.exe при последнем обновлении IE. Оказалось, что нет, не обновляется. Получается, что Гостев говорит вообще о чем-то другом...

Или... ? =)

... или Гостев что-то перепутал.

С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.

Вы спрашиваете о связи между iexplore.exe и explorer.exe?
Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей.
Если речь за Cumulative Security Update, то обновляются как раз библиотеки движка IE, а запускалки в обновление не входят. Explorer.exe может заменяться в обновлениях шелла. И то не во всех.

На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.

Как минимум можно проверить на всех файлах входящих в состав операционки. Даже если взять все версии за всю историю, это вполне реально для нынешних мощностей.

... или Гостев что-то перепутал.
Нет, ничего он не перепутал. Он сослался на последний баг микрософта с апдейтами, когда после них ИЭ переставал работать.

@ borka

Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.

Да, действительно перепутал.
Задетекченный explorer.exe был из летнего апдейта Винды: http://www.kaspersky.ru/technews?id=203178919

@ borka
Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.
Угу... Значит, я неправильно его понял. :unsure: