Как защита от Microsoft удалила код на серверах. Байка о Defender

Сегодня на календаре 16 Августа 2016. Windows Defender удалил рабочий код с хоста. Как это было:

Обсуждая с коллегой новости о череде проблем у Microsoft, которые пестрят в новостях. Там зависло, там пропало, там еще что-то — видимо накаркал себе проблем. Работая на виртуальном сервере с кодом под IIS вдруг получаю предупреждение о том что Windows Defender обнаружил Worm внутри многих ASP файлов на хосте и настоятельно рекомендует удалить.

Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные. До вчера этой проблемы не существовало. Любая попытка восстановить с репозитория файлы — вызывает возмущение у Defender, с последующим удалением файлов.

Проверка настроек показала что Windows Defender обновился 8/15/16 до версии 1.225.3982.0. Сканер настойчиво видел Worm:VBS/VBSWGbased.gen в ASP (VBScript ) файлах. Проверка одного из файлов на virustotal.com показала теже результаты. Из 53х тестовых проверок — только Microsoft Defender находит Worm:VBS/VBSWGbased.gen.

Далее идет много часовая попытка понять, что именно заставило найти вирус и удалить код. Перебирая варианты строк и проверяя сканером каждую строчку — удалось удалить все и получить минимальный тестовый файл который вызывает безумие у Defender.

Function SafeSQLLogin()
  Execute(SafeSQLLogin())
End Function
Function Stream_StringToBinary(Text)
  Set BinaryStream = CreateObject("ADODB.Stream")
  BinaryStream.Type = adTypeText
  BinaryStream.CharSet = "us-ascii"
  BinaryStream.Open
  BinaryStream.WriteText Text
  BinaryStream.Position = 0
  BinaryStream.Type = adTypeBinary
  BinaryStream.Position = 0
  Stream_StringToBinary = BinaryStream.Read
  Set BinaryStream = Nothing
End Function
Function strCrypt()
  For i = 1 To Len(Text)
End Function

Код странный только потому что я удалил максимально все что смог, пока сканер все еще видел Червя. Этот текст минимальный, любое изменение или удаление одной из строк — перестает сводить с ума Defender.

Update: более свежая версия текста для принятия его за вирус:

Function S
Execute S
End Function
For i To Len T

Сохранив текст в файл как test.txt и отправив на virustotal.com все еще выдает потверждение о Черве, несмотря на то что Defender уже получил несколько новых обновлений. Вот результат от virustital.com

Result

Попытка связаться с Tech центром от Microsoft в режиме чата, слегка подняло настроение. Девушка+специалист настойчиво пыталась помочь мне восстановить систему и RestorePoint выдавая команды типа SCN и др. Все попытки пояснить что проблему не у меня с компьютером, вели вокруг настойчивой попытки решить мою проблему с моим компьютером. Поняв что сообщить о проблеме с Defender не получится, я связался с Администраторами хостов с предупреждением, что у нас могут возникнуть проблемы на всех серверах.

Администраторы как обычно не доступны. Надеюсь что они отзовутся не как обычно, когда уже что-то рухнуло. (сарказм)

Анализ «вредоносного» когда, не дает понимания никакой логики. Все ведет к случайному набору каких то совпадений. Любое изменение в тексте, ведет к тому что Червь перестает находиться. Но вся хитрость состоит в том, что текст идет не подряд!!! Этот код очищен от всего остального и это только часть строк, между этими строками были сотни строк другого кода. Нахождение Червя срабатывало только при существовании этих строк среди других строк кода весом на 80kb. Значит это не шаблон, а скорее по регулярке нахождение какого-то кол-ва определенных слов или фраз. Другой логики я не увидел.

Ничего против Microsoft не имею, но чтото в последнее время их ошибки чреваты огромными последствиями. У Администраторов существует жесткое правило — Никаких обновлений на серверах!!! Сначала долгие тесты на тестовых машинах. Понимаю что это звучит не ново — но исправления от Microsoft должны исправлять и защищать а не убивать и создавать новые проблемы, еще более страшные.

P.S. Defender получил очередную порцию обновлений, v1.225.4025.0 — но он все еще настойчиво блокирует и удаляет файлы на тестовом PC, на остальных машинах он везде отключен.
Поделиться публикацией
Комментарии 90
    0
    текст еще удалось немного почистить:

    Function S
    Execute(S)
    Function B
    Set o = CreateObject
    o.Type = o
    o.CharSet = 0
    o.Open
    o.WriteText Text
    o.Position = 0
    o.Type = o
    o.Position = 0
    B = o.Read
    Set o =
    End Function
    For i = 1 To Len(Text)
    — все еще Defender обнаруживает Worm и удаляет все файлы при нахождении кусочков или наборов из данного примера и неважно что между этими строками будет
      +1
      продвинулся еще дальше
      MpCmdRun.exe -Scan -ScanType 3 -File c:\test.txt
      Scanning c:\test.txt found 1 threats.
      Worm:VBS/VBSWGbased.gen
      ==========
      Function S
      Execute S
      End Function
      For i To Len(Text)
      =========
      что такого в этом наборе?
        0
        Ну что Вы от мелкомягкого вируса то хотите? Если он перестанет удалять файлы и создавать проблемы, то перестанет быть вирусом и мелкософту придётся прекратить его «поддержку».
        +1
        Если вы хотите ответа от Майкрософт, отправьте им своего «червя» с жалобой на неправильное обнаружение: https://www.microsoft.com/en-us/security/portal/submission/submit.aspx.
        А вот здесь можно связаться с разработчиками: https://www.microsoft.com/en-us/security/portal/developer/ContactUS.aspx.
          +1
          Я им сразу отправил файл. Но за весь день реакции так и не увидел. Запрос все еще в стадии ожидания.
          А пока пытался понять причину такого чудного поведения Защиты. Дополнительно предупредил кого смог о непонятной проблеме и последствиях.

          Сейчас все еще пытаюсь найти логику сканера. Почему он удаляет в срочном порядке все файлы при нахождении совершенно безобидной комбинации.
          Function S
          Execute S
          End Function
          For i To Len T
          

          совершенно простые строки, даже в простом текстовом файле вызывают резкую реакцию защиты. Ведь даже если разбавить эти 4ре строки любым текстом, всеравно сканер найдет в нем Червя
          Function S
          'test test test 
          Execute S
          'test test test 
          End Function
          'test test test 
          For i To Len T
          'test test test 
          

          Кол-во текста может быть совершенно любым как и содержание. Сканер переходит в режим повышенной опасности и тутже удаляет файлы.
          Вопрос в том — сколько сегодня после обновления базы вирусов, на серверах было удалено файлов при совершенно невинном совпадении. Довольно таки простые строки кода и явно есть еще комбинации. Такчто шанс довольно таки огромен.
          Микрософт пока молчит и не отреагировал на запросы. А вариант блокировки и срочное удаление файлов, боюсь сегодня многим попортил нервов.
            +1
            На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине. Лучше уже отключить его и защитить машину как-то иначе, если там вообще это требуется.
              0
              Я понимаю сарказм, но это больше похоже на опечатку или ошибку девелопера в команде дефендера, чем на тупость самого Defender.
              Вот только смущает, что они выпускают настолько проблемные ошибки в последнее время и реагируют довольно таки медленно.
              Защита которая самовольно удаляет все что ей вдруг вздумается. Довольно таки дорогая ошибка для компании такого уровня.
              И это в совокупности с последними новостями. У Пользователей виснут намертво компьютеры после обновления а они все еще ищут проблему и дают несуразные советы.
                0
                В Defender есть возможность добавить папки/файлы в исключения, для временного решения годится. Останется только ждать вразумительных ответов от службы поддержки либо решения проблемы в одном из обновлений. Но тут не обойдется без подводных камней, возможны проблемы при разархивировании, копировании, переносе, придется добавлять в исключения временные папки или искать еще что-то. Сплошные неудобства.
                  0
                  Еслибы вопрос стоял только в неудобстве.
                  У меня например это случилось прямо вовремя написания кода. В какойто момент в Notepad++ нажимаешь сохранить и вдруг выясняешь что файл удалился и недоступен, и система начинает настойчиво ругаться что у вируса высший уровень опасности и срочно все удалить.
                  А сколько хостов чисто статистически потеряли сегодня файлы и сколько сайтов или хостов сегодня умерло? Изза опечатки одного из девелопера команды дефендера. Одна ошибка и по всему миру у людей сканер начинает без спроса блокировать и убирать файлы.
                  Папку IIS ставить в игнор тоже не очень умно, учитывая что могут быть Upload механизмы.
                  Порой цена ущерба от червя гараздо ниже чем ущерб от самой защиты (сарказм)
                    0
                    Windows Defender на Windows 10 какой-то особенный.
                    Возможно, на нем другие базы или другая эвристика.
                    Мы тоже сталкиваемся с его проблемами, например, при создании новых инсталляторов. Стабильно новые инсталляторы считаются вирусами, при этом они созданы на разных компах, разными компиляторами, и после отправки в MS по вышеуказанному адресу, спустя сутки, антивирус перестает ругаться.
                    Предлагаю объединить наши усилия и не сдаваться, мы параллельно с ними общаемся по похожему вопросу.
                      +1
                      чисто уже любопытно из принципа.
                      какова же там логика эвристики что сканер находит среди кучи текста раскиданные 4ре строки, внутри любого текста
                      Function S
                      Execute S
                      End Function
                      For i To Len T
                      

                      и принимает это за червя. Это явно не шаблон и очень похоже на регулярку. Но Текст сильно простой чтобы было за что зацепится логикой. А вики по вирусу, пояснила что это код который генерирует вирус в виде автолоадера — вот тут моя эвристика в полном тупике.
                        0
                        >> какова же там логика эвристики что сканер находит среди кучи текста

                        Разве того, что это код на VBScript недостаточно?
                        Я, конечно же, шучу, но неужели там нет поддержки хотя бы того же более лаконичного и популярного JS?

                        > 4ре

                        «4», просто «4».
                        +3
                        Сейчас проверил — на Win 7 x64 Microsoft Security Essentials тоже сразу после сохранения файла говорит, что действий не требуется, и через секунд 5 удаляет файл с этими четырьмя строками.
                  0
                  На обычной десятке та-же ситуация. Похоже их сканер лучше вас знает что вам надо иметь на машине.

                  Помнится была новость о том как обновление Десятки, однажды, снесло ряд программ как «несовместимые».
              +5
              Update:
              перебирая различные варианты в поиске ключа за который зацепился сканер, нашел что неважно какое название функций и какие тексты. Главное наличие Function + End Function с Execute внутри и даже неважно с какими параметрами, и дополнительно чтобы далее где-то был цикл. Всего два условия, которых достаточно логике сканера чтобы удалить все что угодно. Под такие критерии статистически может попадать много файлов.
              Как-то довольно таки примитивно для антивирусной программы по таким критериям определять вирус. Еще и ставить ему высший приоритет опасности.
                0
                Типичный фолс, когда криворукий разработчик эвристика считает что такое бывает только в троях. Детект *.gen говорит, я думаю, как раз об эвристике. Смущает меня только то, что у них не было ничего подобного в коллекции чистых файлов (или у них ее вообще нет?!) и время реакции на фолс. Скорее всего, не вы одни такие и заявок должно быть много…
                  +1
                  Возникала похожая проблема при компиляции в студии проекта. Оказалось, дефендер начинал сканировать сам msbuild, студию и все прочее, и только после проверки разрешал совершить компиляцию. Если б мне на SO не ответили, никогда бы не подумал :)
                    +1
                    Сканер лочит файлы, а проверка файлов идет в рилтайм у него. Вот и выходит, что пока Студия генереит файлы, Дефендер тутже идет следом и реагирует на события. Залочил и удалил файл, вот Студия и осталась в пролете.
                    Долго думает (сарказм)
                    Вот бы Дефендер стоял на всех машинах вшитый намертво — тогдабы никто не смог скомпилировать вирус. Уникальное решение избавить мир от писателей вирусов.
                      0
                      Боюсь, что скомпилировать что-нибудь другое было бы тоже проблематично.
                        0

                        Ага, только надо не забыть требовать его наличия на linux и mac os x.

                    +5
                    Вся прелесть в том что вариантов не предлагает Defender. Файлы уже пустые и залоченные.

                    Если этот «антивирус для домохозяек» не оставляет выбора действий — удалите его.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Поставьте другой антивирус, а потом просто отключите только что поставленный. В итоге не будут работать оба. У меня, например, Касперский такое позволяет.
                          0
                          Отключить можно этим:

                          Windows Registry Editor Version 5.00

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
                          «DisableAntiSpyware»=dword:00000001

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
                          «DisableRealtimeMonitoring»=dword:00000001

                          Кавычки только исправьте на обычные.
                          На всякий случай: открыть блокнот > вставить текст > сохранить как off.reg > запустить > перезагрузиться
                            0
                            а получится запретить запуск, например, .exe-шника Defender'а правами NTFS?

                            Upd. а, не обновил страницу со вчерашнего вечера )) уже дали рецептов
                          +18

                          Отличный способ избавиться от VB на планете!

                            0
                            Смешно но неверно.
                            Я думаю можно и на JS подобрать вариант, ведь Винда поддерживает скриптовые части на обоих вариантах, JS и VB
                              –1
                              Избавление от VB неумение программирования не компенсирует, как бы вам не хотелось.
                                +1

                                Хмм, и где вы нашли в моем комментарии что я что-то хочу этим компенсировать? Особенно пресловутое неумение программирования…


                                Вы очень пространно интерпретировали мой комментарий, похоже сильно им оскорбились (VB-погроммист?) и решили завуалировать ответное оскорбление в приписанных мне желаниях и отсутствиях компетенций.
                                Ну что ж, очень показательно.


                                А я, случайно, младенцев по ночам в вашей интерпретации не ем ??

                              0
                              Что-то последнее время часто у мелкомягких косяки по обновлениям. За год обновления семерки дважды ломали работу виртуальных машин, до выхода очередного обновления через три дня. Так что теперь свежие обновления предпочитаю не ставить, только через неделю.
                                +1
                                В некоторых случаях недели недостаточно.
                                  0
                                  Для этого в десятку добавили опцию «Отложенные обновления».
                                    0
                                    Думаю, что у отложенных обновлений какой-то другой принцип. Ибо в начале месяца вышел Anniversary Update, в настройках включены отложенные обновления, однако в Patch Tuesday прилетели обновления, но не до Anniversary, а просто 10586.545. Соответственно «кривые обновления», которые могут что-то поломать, прилетают сразу.
                                    0
                                    Причина очень даже проста: Microsoft значительно уменьшила штат тестировщиков (пруф от ноября 2015)
                                      0
                                      В новостных лентах только слышишь время от времени, как после очередного обновления у всех легли машины.
                                      В отчет от Microsoft идут порой идиотские ответы и бесконечно резиновое время ожидания.
                                      Из самых последних — это вот глобальный Anniversary Update, как раз обсуждали с напарником новость, как у пользователей намертво зависают системы. Мелкомягкие нашли причину — из области фантастики, когда пользователи часть софта ставили не на первый SSD а на дополнительный HDD. И вот тут совет от гиганта просто выбил меня со стула: «Загрузитесь в безопасный режим и перенесите софт на основной SDD». КАК? если у пользователей стоит SSD и они ставили на дополнительный, это значит что места нету там физически.
                                      Ну просто ответ на от***итесь, а еще лучше удалите все а мы типа пока подумаем что делать. Отношение какбы совсем неуместное.
                                      Видимо Microsoft подслушивали в Skype нас, и сразу прямо подруку, дефендер залочил и грохнул файл в котором работал. (сарказм)
                                      +6
                                      У дефендера нет эвристики, только сигнатуры. Поэтому срабатывает на вашем наборе текста.

                                      PS: Антивирус вообще не нужен. Никакой. Бесполезная трата денег, ресурсов клмпьютера и моральных сил.
                                        +1
                                        *.gen не эвристик ли?
                                          +1
                                          «Эвристика».

                                          Компании, которые зарабатывают на малваре и прочем криптуют свой вредоносный код по нескольку раз в день и проверяют на последних обновлениях всех антивирусов.
                                          Именно это и представляет угрозу, и именно от этой угрозы ни какой антивирус вам не спасет.

                                          Накатывайте последние обновления на систему и браузер, не запускайте exe файлы из интернета.
                                          Все.
                                            +1
                                            К чему это? Я 8,5 лет в индустрии и сам это прекрасно знаю.
                                            0
                                            Именно для этого часть детектов в нормальных антивирусах срабатывает только при определенных условиях, а не просто при он-деманд скане.
                                          0
                                          Дома то ладно, но что прикажете использовать тем же бухам на рабочих компах и т.п.? Или здесь будет фразы про политики, запрет флешек, настроенный почтовый сервер? Не холивара ради, мне просто правда интересно.
                                            0
                                            Не знаю.
                                            Без повышения общего уровня пользователя — только репрессивные методы.
                                            Лучше всего терминал ;-), и обслуживать проще.
                                              0
                                              Терминал хорошая вещь, но ведь не все можно перенести в терминал (например, некоторые интернет банки или программы с графикой (то же visio)).
                                              Увы, без антивируса никак. Белый список тоже так себе выход.
                                                0
                                                В термиинал можно перенести любой офисный софт, визио — вообще не проблема.
                                                Белый списки — кал, будете создавать себе лишние проблемы?
                                                Ради чего, чтобы идиотский бесполезный антивирус не мешал работать?
                                                Это странное решение.
                                              0

                                              Белые списки для запуска программ...

                                                0
                                                если будете успевать за обновлениями. В какойто момент вдруг то что в белом списке может оказаться вредоносным. Кто его знает на что способен девелопер к примеру в понедельник после пати если тестер все это пропустит в паблик.
                                            0
                                            Не холивара ради, но:
                                            Использовать в продакшене ЯП, который для доступа к двоичным файлам использует методы для работы с БД, это мне кажется неправильно…
                                              0
                                              когда задача ставится как «соорудить костыль, который запускается на всём, включая древние виндовсы, без установки дополнительного софта», вопросы правильности отходят на второй план.
                                                0
                                                Не холивара ради: если не знаете возможностей языка — то не утверждаете.
                                                0
                                                Может, я чего-то не понимаю, но дефендер не удаляет файлы, а помещает на карантин, откуда их можно легко восстановить и добавить в исключения. Буквально на днях у меня дефендер ругался на подписанный powershell-скрипт (пока не подписал — не ругался). Элементарно восстановил из карантина и добавил в исключения. Это я про Win10, на 7-ке всегда его отключал.
                                                  0
                                                  В этом конкретном случае он мгновенно блокирует файл и удаляет его содержимое. Файл ты видишь и видишь его размер, но содержимое при просмотре оказывается пустым. И произошло то это в папке IIS, т.е. Сканер просто удалил скриптовые файлы веб сервера уложив продукт.
                                                  Это просто произошло какимто неземным чудом в момент моего удаленного редактирования файла на сервере. А так бы мог узнать уже спустя время.
                                                  И вопрос чисто любопытства ради — сколько машин пострадало от такого действия.
                                                  +1
                                                  Отключить Windows Defender можно так:

                                                  gpedit.msc

                                                  Local Computer Policy/Computer Configuration/Administrative Templates/Windows Components/Windows Defender/Turn off Windows Defender ---> Enable
                                                    +6
                                                    #мышки #кактус #кушать
                                                      0
                                                      По моему уже после первой проверки на virustotal было ясно что это false positive срабатывание. Зачем вы вообще этот Defender держите? Он дырявый как решето.
                                                        +2
                                                        обновился 8/15/16 до версии

                                                        В 15-м месяце года всякое возможно
                                                          –6
                                                          надеюсь это сарказм был?
                                                          все компы и сервера в US стандарте, в привычке уже все делать в их формате
                                                            +8
                                                            а что ж статья не на английском?
                                                              +9
                                                              Некорректно писать статью на русском языке для русскоязычной аудитории, но указывать в ней даты и единицы в чужих форматах. Что если бы это было не очевидно американское 8/15/16, а какое-нибудь 6/3/16 — тогда что нужно думать, что это 6 марта, или третье июня?
                                                                0
                                                                Если уже быть совсем умным, то в нашей нотации разделитель даты — "." а не "/".
                                                                +1
                                                                это настолько принципиально было чтобы столько шпал накидать?
                                                                я в начале статьи написал полностью дату, а дальше в тексте скопировал с экрана цифры Дефендера один-в-один как видел на экране. Я допустил настолько грубую ошибку, что статья потеряла смысл или когото чемто обидел? Сама статья получила +24 зато изза формата даты который я скопировал с экрана вместе с номером ревизии обновления и получил -6
                                                                Порой, наблюдая за комментариями к статьям на хабре, замечаешь как порой, критикам абсолютно неважно о чем статья, все внимание переключается на буквально какоето одно слово и понеслась.
                                                                Чисто риторический вопрос — если бы я вставил скриншот с экрана с датами и номером ревизии — тоже бы заминусили что для скриншот с англоязычной ОСь и это грубейшая ошибка?
                                                                  0
                                                                  А мне как то карму слили за совет играть на геймпаде в игру, сделанную под геймпад.
                                                                  Но вообще да, это так же принципиально как писать и говорить грамотно.
                                                            +1
                                                            У нас в конторе на VBSript наработано достаточно большое количество полезных мелочей.
                                                            И увы, чем дальше, тем чаще антивирусы сходят с ума при виде скриптов, делающих что-то сложнее, чем msgbox «hello world!».
                                                            И не только Windows Defender.

                                                            В разгаре агония самой концепции «антивирусов», производители этого анахронизма в панике всё больше усложняют алгоритмы поиска угроз, увеличивая тем самым количество ложных срабатываний и усложняя поиск «что же антивирусу на этот раз не понравилось».
                                                              0
                                                              Логика понятна в приципе их работы.
                                                              Был вирус — он генерил автопогрузчики определенные. Нашли и вписали в логику. Но!.. если уж пишите логику, то поидеи если нету самого вируса, то незачем реагировать на все подряд.
                                                              Ведь если это чисто текстовый файл то он априори не вредоносный, его вредоносным может сделать сам троян, но ведь если самого трояна нету то и орать что какойто файл в котором есть слово function опасен и уложит вашу систему.
                                                              Как по мне то тут лень или криворукость.
                                                              Вот только, в последнее время гиганты типа Микрософт, Гугл, Яблоко… допускают себе ошибки от которых пользователи и даже компании, попадают на денежные затраты и проблемы. Ну подумаешь ошиблись. Недельку подождите, может мы исправим.
                                                              0
                                                              Windows Defender — это своего рода заглушка, которая худо-бедно защищает машину при начальной установке.
                                                              Для нормальной работы необходимо установить нормальный антивирус. Есть хорошие как платные так и бесплатные варианты.
                                                              Мало того что эта заглушка плохо работает как антивирус (мало ловит, ложные срабатывания), то еще и сильно жрет системные ресурсы.
                                                                +3
                                                                Да нету нормальных априори. Это из области холивара кто лучше.
                                                                Каждый из них несет проблему в той или иной период времени.
                                                                Дефендер хотябы родной и является частью системы, обновления идут десятками в день.
                                                                Ставить Симантек на сервер потеряв огромный кусок производительности? ДрВеб чтоли? Нортон?
                                                                Спорить можно до крови, но каждый из решений приносит время от времени головную боль.
                                                                  +1
                                                                  Плюс тот же ДрВеб мне точно так же сносил свежекомпилируемый Hello World. И тоже долго реагировали в поддержке. Так что все не без греха.
                                                                    0
                                                                    Не напишете статью? Было бы очень любопытно. :-)
                                                                    0
                                                                    Обычно антивирус противопоказан на сервере, кроме файлового. Серверные версии включают только файловый компонент.
                                                                    Какова причина необходимости антивируса на сервере приложений?
                                                                      0

                                                                      Так ведь файловый-то скрипты и удалял...

                                                                        0
                                                                        это понятно. Вопрос — зачем он там? Я понимаю, когда на сетевые шары валят кучу непотребства. Какой вирусной угрозы ждут на сервере приложений с iis? Ведь даже в случае взлома сервера и заражения скриптов — антивирус как-раз и потрет собственно скрипты.
                                                                          0
                                                                          1. Сисадмины не разрешают отключать;
                                                                          2. Безопасники запрещают отключать;
                                                                          3. Никто не знает как его выключить;
                                                                          4. Никто не задумывался о том, что там антивирус по умолчанию включен

                                                                          А так-то я согласен, антивирусу на сервере не место

                                                                            +1
                                                                            Даже больше можно теперь говорить — на сервере место защиты от обновлений и всяких защит. Т.е. блокировка любых попыток от Микрософта чтото обновить или улучшить.
                                                                            Хотя и звучит это очень некрасиво, производитель серверного продукта сам опасен для этого сервера своими действиями.
                                                                              0
                                                                              3 говорит о некомпететности админов (это именно их компетенция, а также удаления чего-либо «не там»), а 4 позволяет просто молча выключить, он же и так «как бы выключен».
                                                                    +1
                                                                    Аллилуя братья и сестры, Microsoft таки отреагировала на запрос. Я уже даже не надеялся на это.
                                                                    https://www.microsoft.com/security/portal/submission/submissionhistory.aspx?SubmissionId=88F59521-AB6F-4EC1-9218-2B9D3E3DC742
                                                                    Таки почти спустя 16 часов они рассмотрели запрос и обновили Дефендер.
                                                                    v1.225.4071.0 перестал реагировать. Час назад предыдущее обновление еще ругалось, пока пытался найти аналог в JS варианте.
                                                                    Радует что реагируют, огорчает что скорость гигантски медлительна для гиганта. Можно предположить что на 16 часов с большой вероятностью, были проблемы и пропали скрипты или машины стояли с отключенным дефендером.
                                                                    Маааленькая опечатка программиста и лажа тестера — последствия могут быть колоссальны.
                                                                      –7
                                                                      Простите за наглость, но вы не оборзели?
                                                                        +2
                                                                        Ну так им необходимо проверить заявку, разобраться, найти решение и заимплементить его. 16 часов это вполне приемлимый вариант.
                                                                          +1
                                                                          Это отличное время.
                                                                          +1
                                                                          Так вот для чего меня учили категорически избегать функций, выполняющих произвольную строку! На них распространяется презумпция виновности!
                                                                            0
                                                                            Я сейчас подобный глюк представил у автоматического дрона из программы автоматического поиска террористов по их поведению https://en.wikipedia.org/wiki/SKYNET_(surveillance_program)
                                                                              +1
                                                                              О да, судя по результатам «Windows Defender false positive» количество подобных случаев растет, причем в основном в этом году.
                                                                              Пару месяцев назад у нас был похожий случай, в .NET dllке стал находиться некий MSIL/Injector.JC, который поудалял часть нашего софта с компьютеров юзеров. В дллке был всего лишь безобидный код работы с реестром и только в режиме чтения. Базу сигнатур исправили только через неделю, причем пришлось искать прямые связи до конкретных людей. Дать бы по башке тем, кто так регистрирует сигнатуры.
                                                                                +1
                                                                                Ответ Funbit: (промахнулся)
                                                                                Вот такие новости и напрягают каждый раз.
                                                                                Вроде бы как, Microsoft занимается выпуском систем не только для «домохозяек», по личному опыту вижу как большие корпоративные клиенты используют их софт. И как вот на фоне этого, можно себе позволять выпускать глюки которые ломают целые системы и сети.
                                                                                Ведь к примеру у строительной корпорации в Штатах, у которых по 20-50 Дивизионов с тысячами персонала в каждой, плюс субподрядчики… и вот в какойто момент падает весь продукт и днями или неделями все ищут костыль чтобы обойти очередной патч или обновление.
                                                                                В итоге все это приводит к всеобщему мнению, что нужно опасаться патчей или обновлений от Microsoft, сильнее чем сами дыры и вирусы. Да и как можно выпустить глюк который сломал все по всему миру, и позволить себе дни а то и недели, чтобы это исправить.

                                                                                Я теперь понимаю психов в Штатах. Поначалу их не понимал. В больших компаниях все компьютеры пользователей, клонированы с одного образа и настроены, и в них заблокировано максимально все. Даже туллбар в IE не включить и не поменять, в избранное даже не добавить. На уровне «полиси» залочено абсолютно все, и чтобы чтото установить или поменять, уходит колоссальное время и силы. Их админы уперто стоят на своем и не дают ничего менять, и все обновления естественно заблокированы. Получается их маразм построен вот на таких последствиях, когда чья-то опечатка или ошибка, всю компанию может поставить в проблему и ударить по карману.
                                                                                Печально все это.
                                                                                  +1
                                                                                  Очень печально, да. С одной стороны я за то, чтобы софт был свежим, слишком много находится уязвимостей (в любом софте, не только в винде), но страх что что-то сломается начинает превалировать… И ладно если речь идет о домашней машине, но вот когда какой-то апдейт начинает удалять твой собственный софт на ЧУЖИХ компьютерах по ошибке (причем за эту ошибку никому ничего не будет, а хорошо бы уволить), расплачиваться приходится тебе…
                                                                                  –1
                                                                                  повторюсь — дефендер — хорошее джентельменское средство защиты от вирусов для свежеустановленной ОС, оно защитит систему до того времени, которое нужно на выкачивание и установку НОРМАЛЬНОГО антивируса.
                                                                                  хотя для подавляющего числа домо[хозяек|хозяев|прочих непродвинутых юзеров] и этого средства будет вполне достаточно, им не требуется безотказность и надежность 99,999%.
                                                                                  для серверов же, особенно продакшн, надо подбирать необходимую защиту, выбрать обычно есть из чего.
                                                                                  Естественно надо учитывать особенности политики безопасности в организации, бюжеты, требования к надежности и бытродействию и т.д… из-за обилия этих влияющих факторов нет общей рекомендации антивирусного продукта.
                                                                                    0
                                                                                    что в вашем понимание «нормальный антивирус».
                                                                                    Я вижу как на каждом ПС и ноуте купленном в штатах — стоит сразу Симантик или Нортон, которые сразу сьедают львиную долю ресурсов, как памяти так и CPU.
                                                                                    Как для меня лично, то Дефендер менее прожорлив. Он является частью кернела, и делает свою работу незаметно для тебя. Частота и кол-во обновлений тоже говорит о многом. А заменить его чемто с параноидальным анализом который безумно лочит все?
                                                                                    Если взять историю каждого антивирусника то почти у всех будет на счету подобные ошибки и более страшные проблемы. Идеальных нету.
                                                                                    Сама тема этой истории никоем образом не шла о том что Дефендер такой галимый и срочно его все меняйте на ДрВеб. Речь шла о том что софтварные компании такого уровня, позволяют себе такие «ошибки» которые могут просто взять и удалить информацию, или обрушить продукт на тысячи ПС.
                                                                                    И не только Microsoft, тотже Google тоже относится порой к пользователям как халявной группе тестеров.
                                                                                    Самсунг тоже грешит этим, выпускает сначала сырой продукт для третих регионов, Вьетнам, Сербия, Казахстан и т.д. ждет результатов, и только потом проверенный и обкатанный софт уже пускает выше. Тупо халявные тестеры за их же деньги. И такая тенденция растет.
                                                                                      0
                                                                                      под НОРМАЛЬНЫМ инструментом (антивирусом в данном случае) я понимаю такой, что соответствует нормам, которые приняты для задачи.
                                                                                      1. если задача звучит так — обеспечить НАДЕЖНУЮ антивирусную защиту серверов и ПК в компании — нормой является:
                                                                                      — возможность централизованного контроля за активностью антивирусных экранов на машинах
                                                                                      — опционально — возможность обновления из локального сервера обновлений (обновления вначале тестируются на тестовой системе, потом тиражируются на продуктовую)
                                                                                      — опционально — возможность гибко настроить политики экранов для разных групп машин (для серверов можно отключить ряд экранов, уменьшить уровень эвристики)
                                                                                      при этой норме дефендер и близко не годится.
                                                                                      2. если задача нормирована как — хочу чтоб на станции стоял антивирус, имеющий хорошие рейтинги и бесплатно:
                                                                                      смотрим том актуальных антивирусов, выбираем по вкусу.
                                                                                      и тут дефендер сразу в топку, ни в одном обзоре он не входит и в 5-у лучших.
                                                                                      3. если задача не нормирована вообще (владелица машины не в курсе что такое антивирус) или нормирована так: на машине нужен антивирус, и чтоб вообщ ничего не искать и не делать
                                                                                      вот для этого случая. достаточно частого, кстати, дефендер и предназначен. Но при такой нормировке нечего пинять на ложные срабатывания при разработке скриптов — тут сериал смотрят и игры гоняют а не скрипты пишут.

                                                                                      единственный жирный плюс дефендера — он уже есть, бесплатно, и как-то что-то защищает. Для многих, кто не умеет/не хочет/не любит думать — этот плюс решающий.
                                                                                    0
                                                                                    А чего на дефендера все жалуются? Мне помнится у каждого антивиря были проблемы с удалением полезных и нужных файлов, это скорее норма.
                                                                                    Уж один касперыч сколько нервов одно время съедал.

                                                                                    Кстати, только что сам создал текстовый файлик с этими строчками — действительно дефендер начинает паниковать))
                                                                                      0
                                                                                      обновите Дефендер — уже вчера они выпустили патч. Покрайней мере после v1.225.4071.0 перестало ругаться. Хотя может они снова чтото сломали?
                                                                                      –1
                                                                                      Не глотайте абзацы.

                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                      Самое читаемое