» »

McAfee ne mara Excela

McAfee ne mara Excela

News.com - V petek je podjetje McAfee za svoj antivirusni program izdalo antivirusne definicije z napako, ki je zamenjala Excel in še nekaj ostalih programov za virus W95/CTX. Posledice so seveda brisanje/osamitev datotek, povezanih z MS Office - Excel.exe in Graph.exe, ter še "nekaj" programov različnih proizvajalcev:

IBM (Rational), GreenHills, MS Office, Ansys, Adobe, Autocad, Hyperion, Win MPM, MS Shared, MapInfo, Macromedia, MySQL, CA, Cold Fusion, ATI, FTP Voyager, Visual Studio, PTC, ADS, FEMAP, STAT, Rational...

Podrobnejše poročilo je na voljo tukaj, težave je povzročal antivirusni izdelek za namizne računalnike, medtem ko pri serverski različici ni bilo težav. Napako so sicer hitro odpravili, vendar je dogodek vseeno povzročil precej težav.

Takoimenovni "false positive" primeri napačne identifikacije domnevno škodljivih programov se občasno zgodijo; zadnji odmevnejši primer te vrste se navezuje na Microsoft Anti-Spyware, ki je kot virus označeval izdelek Norton Antivirus.

11 komentarjev

poweroff ::

"MS Office je virus, namestite si OpenOffice.org? :D >:D
sudo poweroff

Azrael ::

@Matthai:

Nič ne pomaga taka taktika, MS formati so standard, za nekater slab, ampak kaj čmo.

Nazaj na topic:
Zanimivo se mi zdi, da se take kozlarije dogajajo pri plačljivih AV programih, vsaj pri free verzijah različnih AV programov tega (še) ni zaslediti.

Res pa meni osebno ne Norton in ne McAfee AV nista nikoli kotirala visoko.
Nekoč je bil Slo-tech.

RejZoR ::

Mja si premalo v teh vodah. Ti jezst povem iz prve roke. Poleg tega pa plačljivo/freeware tle ni noben razlog oz možnost za izgovor.
AVG, avast! in AntiVir se financirajo preko plačljivih, največkrat Enterprise, Corporate in Business različic. Rečt da je kej tazga za pričakovat pri brezplačnih je neumno. Zapovrhu vsi trije uporabljajo identične engine in identične pattern signatures kot v svojih večjih plačljivih bratih. Se pravi če bo brezplačni naredil false positive detekcijo, jo bo plačljivi tudi (z razliko za spyware/adware pri AntiVir ki je izvzet za freeware verzijo).

Od kar vodim svojo stran z malimi programčki sem na njih že parkrat fasal napačne detekcije drugače povsem legitimnih programov.
AVG, avast!, Symantec, EmsiSoft (A-Squared - A^2), McAfee in verjetno še keri, ki sem ga pozabil.
Isto je bilo ko je McAfee zaznal eMule iONiX kot neko novo zalego samo zato ker so jo spakiral z UPack packerjem (LZMA). Potem ogromno težav je blo s HiJack This ko ga je McAfee isto zaznal narobe ob vsaki novi izdaji.

To se dogaja in se verjetno še bo, pa sej jim ne moreš zamerit. Problem je drugje, in sicer pri odzivnih časih za popravljanje false positives in način kako antivirus obdeluje okužene filete.
Večina pokaže opozorilo in vpraša uporabnika kaj storiti, drugi so nastavljeni da privzeto probajo popravit, če ne uspe, vržejo v karanteno.
V obeh primerih se izogneš težavam ker se da iz karantene povrnit na prvotno mesto oz že prej sam izkočišš zadevo iz skeniranja.
No, McAfee načeloma počne isto, s to razliko da v karanteno meče samo stvari zaznane s heuristiko. Ker pa tle to ni bil primer je zadevo mirno pobrisal (pattern signature).

Pomoje je šlo prej za interno napako pri QA testiranju pred izdajo DAT patternov.
Glede na to da je McAfee, Microsoft partner je mal čudno da ne bi mel tega v testbedu.
Recimo neki časa nazaj je Kaspersky nesrečno zaznal "Notepad" kot neko infekcijo. Zadevo so popravili v 15 minutah če se prav spomnim. Temu se reče ažurnost ob napakah. Alwil Software (avast!) in GriSoft (AVG) so popravili false positive v 2-3 urah, Symantec (Norton) so rabil 1 dan!). Sicer možno da zaradi različnih časovnih pasov ter minorne naravo napake (pač en moj freeware programček ni isto kot MS Office).

Pa folku je treba dat neki za glodat, sej vidte da se iz vsake male stvari dela cele škandale heh (ne samo v računalništvu).
Angry Sheep Blog @ www.rejzor.com

diso32 ::

vsaj pri free verzijah različnih AV programov tega (še) ni zaslediti.

Tega se tu še ne zasledi, ker se tega tudi ne odkriva, ker je pač zastonj, neglede na to, ali je program dobr al ne.
-

Spc ::

Še en razlog več zakaj uporabljati Enterprise / Server class produkte.
:|

MrStein ::

"programov" je link na članek na slashdot-u ???
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Looooooka ::

ah ja pr takem stevilu programov k so zuni se tud to zgodi.
ceprou da excel za virus nastejes je pa to kj fajn slip up.
Je pac zadeva tak standard in tok razsirjena da matr ce bi kj fajn zbrisal pa da jih zacnejo userji tozit...

Pyr0Beast ::

Nism še vidu boljšega AV od sophosa, kr je updata je ponavadi nekaj k, ne pa 11+M, kot je pri nortonu.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

ender ::

Moj znanec je imel problem z Nortonom, ki mu je označil vse installerje kot da imajo črva. Napako je takoj (v petek) prijavil na njihovih forumih, kjer pa so sporočila skrivnostno izginjala (ni bil edini s to napako), stvar pa je bila odpravljena šele v sredo...
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

RejZoR ::

@Pyr0Beast

Najboljši update mehanizem ima avast! Antivirus.
Alwil Software je bil vbistvu pionir te tehnologije in kjer še dandanes vodijo brez primere. Zato ga tud priporočajo za dialup uporabnike.
Updejti so običajno veliki samo 2-7 KB, ob ogromnem številu patternov samo 25-30 KB, program updejti samo 500-700 KB.
Pa ogromno rezervo z velikim številom serverjev, ki dandanes presega 50 serverjev po celem svetu kar fino pripomore k odzivnosti check poziva in hitrih throughputov pri program updejtih.
Drugi isto uporabljajo delta patching, samo običajno ne spravijo definicij pod 25-30 KB. Ja, zelo malo za današnje dni ampak vseeno :P
Angry Sheep Blog @ www.rejzor.com

Pyr0Beast ::

Mjah, sophos ma update od prejšnjega meseca velik 100k :)
avast, je zame preveč okoren, kar se pa porabe sredstev tiče ...

Alwil Software je bil vbistvu pionir te tehnologije in kjer še dandanes vodijo brez primere.
ja na desktopih ..

Zato ga tud priporočajo za dialup uporabnike.
No, jaz priporočam sophos, deluje lepo v ozadju, ko zazna internetno povezavo pa prenese tistih par k, tako, da ti ne teži ob delu.

Pa ogromno rezervo z velikim številom serverjev, ki dandanes presega 50 serverjev po celem svetu kar fino pripomore k odzivnosti check poziva in hitrih throughputov pri program updejtih.
Za sophos lahko sam server za ud postavš.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Skromna zastonjska alternativa MS Word-u

Oddelek: Programska oprema
81655 (1447) hokuto
»

0-day varnostna napaka v MS Word (strani: 1 2 3 )

Oddelek: Novice / Varnost
12312464 (8998) MrStein
»

Je OpenOffice.org za slovensko državno upravo predrag? (strani: 1 2 3 4 5 6 7 8 9 )

Oddelek: Novice / Pisarniški paketi
42139774 (31237) jype
»

zajedalski spyware

Oddelek: Operacijski sistemi
212472 (2139) hunter01
»

Kako uporaba MS rešitev povzroča konkretno poslovno škodo

Oddelek: Loža
472521 (1588) ahac

Več podobnih tem