Просмотр полной версии : Антивирусу Касперского не понравился explorer.exe
ALEX(XX)
23.12.2007, 19:48
В течение пары часов пользователи Антивируса Касперского 6.0/7.0 и Kaspersky Internet Security 6.0/7.0 получали обновление антивирусной базы, приводящее к ложному опознаванию explorer.exe как Worm.Win32.huhk.c и переносу его в карантин, cообщает bugtraq.ru. Проблема затронула только пользователей XP с июльским обновлением explorer.exe. Лаборатория Касперского опубликовала инструкцию по восстановлению explorer.exe из карантина и принесла пользователям извинения за доставленные неудобства. Предыдущая проблема с обновлениями АК, после которой было обещано радикально изменить процесс их тестирования, случилась менее недели назад.
Источник (http://bugtraq.ru/rsn/archive/2007/12/17.html)
uinc.ru (http://www.uinc.ru/news/sn9186.html)
ИМХО темку надо в "Ложные срабатывания"...
Кстати, вот здесь Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995
aintrust
24.12.2007, 11:09
... Александр Гостев (под ником "A.") дал исчерпывающие разъяснения по поводу этого фолса, переведя интервью Дэвида Эмма: http://www.anti-malware.ru/phpbb/viewtopic.php?t=3995
Тут что-то странное... =)
Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.
Во-вторых, Гостев говорит о немного глючном IE (ну, про это уже многие знают), а фолсы были на explorer.exe (кстати, Дэйвид Эмм тоже говорит об explorer.exe). Какая связь?
Вы спрашиваете о связи между iexplore.exe и explorer.exe?
Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей. Или я не прав?
Во-первых, в приведенной ссылке я не увидел никакого перевода от Александра Гостева.
Кстати, да, тут я ввел присутствующих в заблуждение, сам невнимательно почитав оригинальный пост.
aintrust
24.12.2007, 12:20
Давайте еще раз, более детально... =)
Насколько я понимаю, речь идет о ложном детектировании конкретно файла explorer.exe, а не тех системных компонент, что вызываются при его запуске (или запуске IE). Гостев же говорит об Internet Explorer'е (т.е., о файле iexplore.exe) и о его ложном детекте - получается, что он говорит о каком-то другом кейсе (файлы-то ведь разные!)?
Вам там ближе - может просто спросите непосредственно у Гостева, что он имел ввиду?
С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?
aintrust
24.12.2007, 13:04
Кстати, я проверил, обновляется ли файл explorer.exe при последнем обновлении IE. Оказалось, что нет, не обновляется. Получается, что Гостев говорит вообще о чем-то другом...
Или... ? =)
... или Гостев что-то перепутал.
С фолсом-то всё понятно. Не понятно другое. Ведь говорили не раз что все обновления тестируются на базе чистых файлов. Проблема что-ли написать скриптик который будет автоматом туда ложить все обновления Вин?На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.
Вы спрашиваете о связи между iexplore.exe и explorer.exe?
Я так понял, что обновление IE включает замену файла explorer.exe, т.к. оба этих экзешника являются лишь стартерами для одного и того же набора модулей.
Если речь за Cumulative Security Update, то обновляются как раз библиотеки движка IE, а запускалки в обновление не входят. Explorer.exe может заменяться в обновлениях шелла. И то не во всех.
На всех чистых файлах проверить невозможно. У них количество семплов в день тысячами измеряется.
Как минимум можно проверить на всех файлах входящих в состав операционки. Даже если взять все версии за всю историю, это вполне реально для нынешних мощностей.
... или Гостев что-то перепутал.
Нет, ничего он не перепутал. Он сослался на последний баг микрософта с апдейтами, когда после них ИЭ переставал работать.
aintrust
24.12.2007, 16:18
@ borka
Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.
Да, действительно перепутал.
Задетекченный explorer.exe был из летнего апдейта Винды: http://www.kaspersky.ru/technews?id=203178919
@ borka
Просто для уточнения: посмотрите последнюю фразу Александра Гостева, там он говорит о (якобы) фолс детектировании IE, в то время как в топике речь идет только о фолс детектировании explorer.exe.
Угу... Значит, я неправильно его понял. :unsure:
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot