locked
Потенциальная опасность исключений по имени вируса в MSE RRS feed

  • Общие обсуждения

  • Недавно MSE "нашел троян" в одном старом файле на моем ПК, Trojan:Win32/Orsam!rts. Я знаю что это не троян, поэтому сделал для него разрешение в MSE и отправил на анализ через интерфейс, как ложное срабатывание. Мне пришло сообщение, что изменили вердикт, с Trojan:Win32/Orsam!rts на HackTool:Win32/Keygen.
    Спасибо аналитикам за работу.
    Но возникает такой вопрос: из данных по Trojan:Win32/Orsam!rts я понял что это не один вирус, а универсальный вердикт автоматического анализа. Я правильно понимаю, что этот вердикт может быть на несколько разных вирусов и что разрешив Trojan:Win32/Orsam!rts в MSE я позволил ему пропустить любой вирус с таким вердиктом?
    ИМХО, систему разрешений в MSE необходимо усовершенствовать: включать в разрешение не только тип вируса, но также имя зараженного файла и его местоположение на ПК.
    Чтобы если пользователь разрешил пропускать такой эвристический вердикт или даже настоящий вирус в какой-то папке, допустим для исследования, то MSE не делал его беззащитным перед вирусами с таким же вердиктом, попавшими из сети в кэш браузера, принесенными на флешке и т.д.
    17 марта 2010 г. 18:59

Все ответы

  • Как уже говорилось в соседней теме, антивирус – это не панацея от всего, он не является надежной защитой от всевозможных угроз.

    17 марта 2010 г. 20:48
  • Как уже говорилось в соседней теме, антивирус – это не панацея от всего, он не является надежной защитой от всевозможных угроз.

    В контексте обсуждаемой темы как раз является. Пока пользователь сам не разрешит, ему ничего не угрожает. Серьезная проблема будет только если пользователь даст разрешение на универсальный вердикт. Одно сделанное разрешение на возможное ложное срабатывание, и забытое, откроет ворота для всех вирусов, которые получат такой же универсальный вердикт.
    Еще одна проблема в том, что такие универсальные вердикты никак не отличаются от обыкновенных названий вирусов. Пока не посмотришь на сайте, не поймешь что Trojan:Win32/Orsam!rts это не имя конкретного вируса, а общий, универсальный вердикт, поэтому очень опасно давать разрешение.
    Если не хотите усовершенствовать систему исключений чтобы учитывать не только вердикт, но также имя и местоположение файла, то сделайте так, чтобы нельзя было устанавливать разрешение для универсальных вердиктов наподобие Trojan:Win32/Orsam!rts и так чтобы мы сразу видели, где точное название конкретного вируса, а где универсальный вердикт автоматики.
    17 марта 2010 г. 21:03
  • Хотелось бы получить перечень таких универсальных вердиктов или их отличительные черты в имени вируса.
    17 марта 2010 г. 21:10