Перейти к содержанию
Авторизация  
ANNT

Поддержка для разработчиков

Рекомендуемые сообщения

Здравствуйте ! Я представляю не очень крупную компанию, занимающуюся разработкой ПО. Сейчас мы запустили систему удаленного мониторинга и управления ПК. Вашим антивирусам на почему то очень не нравится. KIS в частности пишет - "Действия программы можно точно охарактеризовать как вредоносное". Что именно ему не нравится понять довольно сложно. В тех. поддержке нам ничего умного не сказали. В Лабораторию отправили заявку о "Ложном срабатывании". Кроме письма на английском от автоответчика уже третий день ничего нет. До регионального представителя Северо-западного региона не дозвониться. И тут сразу возникают вопросы :

В каком порядке обычно происходит взаимодействие со сторонними разработчиками ?

Есть ли краткое руководство для разработчиков о том "что такое хорошо и что такое плохо" с точки зрения антивирусных систем Касперского ?

Как быть с обновлениями для программы, которая еще вчера была хорошей, а после обновления самой программы или Антивируса может стать "плохой" ?

  • Улыбнуло 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ANNT, добро пожаловать на фан-клуб!

 

Не могли бы вы назвать номера ваших запросов в Вирусную лабораторию? Они имеют вид KLAN-XXXXXXXXX. Попробую выяснить, почему на них нет ответа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KLAN-1095111115
Сегодня кстати ответ пришел, но как и следовало ожидать, ничего так и не решилось.
 
В ответ на мое письмо, в котором я описываю сложившуюся ситуацию и прикрепляю ссылку на скачивание дистрибутива.

We were unable to reproduce the detection.
Please update your antivirus bases.
If the problem persists, please send the screenshots or logs of detection.
 
Regards, Ling Tu
Junior Virus Analyst
 

 

 

Ну, теперь наверное нужно дать Господину Ling Tu некоторые пояснения о том как работает наша система. Рассказать о том, что там нужно сначала зарегистрироваться и вместе с Дистрибутивам скачать файл лицензии, без которого программа вообще не запустится. Так же, в случае если он захочет воспроизвести процесс удаленного управления, ему будет необходимо сгенерировать ключ шифрования и опять таки сохранить его в папке с программой. И Объяснить все это наверное лучше на английском...

Причем готов поспорить, что ответа на ранее заданные вопросы, я от него через три дня все равно не получу )) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ANNT,

Думаю вам будет полезно в таком случае расмотреть возможность участия в программе  Whitelist

Изменено пользователем kilo
  • Согласен 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

БЛЕСК ! И самое печальное, что спустя неделю, мне это решение подсказывает не сотрудник компании KASPERSKY (

Спасибо, kilo !
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Работникам ТП не удалось воспроизвести детектирование, попросили обновить антивирусные базы. Если и после этого проблема сохраняется, ТП запросила лог детектирования и скриншот алерта

  • Согласен 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В общем. Разочарованию моему не было предела (

 

Начнем с начала.

 

5 Октября обнаружилась эта проблема. В течении этого дня и следующего я пытался общаться по телефону с представителями компании, контакты которых были указаны на сайте. "Операторы" все больше норовились отправить меня в "тех. поддержку" (Ну это такие девочки в колл-центре, с неоконченным гуманитарным, которые ищут "правильные" ответы в справочнике "глупых" вопросов ), которая в свою очередь от безвыходности оправляла меня на newvirus@kaspersky.com

 

По ящику newvirus@kaspersky.com мне кроме как с автоответчиком ни с кем первые три дня пообщаться не удалось.

В течении этих трех дней, я около 6 раз, пытался дозвониться до "Регионального Представителя" Евгения Питолина. В ответ я получал одно и тоже - "Он не подходит к телефону, попробуйте позвонить позже"

 

8 октября, я понял, что единственный способ наладить обратную связь - написать на форум.

 

9 октября, по рекомендации одного из форумчан я зарегистрировался в программе Whitelist ! И вот тут уже начался настоящий цирк )

 

Со мной по почте связалась ОЧЕНЬ вежливая и услужливая сотрудница Олеся Голубкова, Менеджер по работе с технологическими партнерами (Оказывается есть такая штатная единица...), но тоже судя по всему с неоконченным гуманитарным. По правде говоря к ее работе претензий меньше всего, потому как я с самого начала от "менеджеров" чудес не жду.

 

А вот технические специалисты лаборатории не переставали удивлять изо дня в день.

 

Далее слидите за перепиской :

 

9 октября

 

Пришлите, пожалуйста, ПО Вашей компании во вложении к письму. Установите на архив пароль infected. 
Также напишите подробно (на русском языке), какие действия, пошагово, как выполнять, чтобы можно было воспроизвести детектирование.

 

 

Отправляю ДИСТРИБУТИВ с подробнейшей инструкцией по  установке и описанием проблемы.

 

Сергей, спасибо за подробный ответ. 
 
Данные перенаправила на детальный анализ.
Надеюсь, что в ближайшее время получим ответ. Обязательно Вам сообщу о результатах.

 

 

10 Октября

 

Сергей, добрый день! 
 
«Дистрибутив ничем не детектируется.
Для каждого клиента поставляется индивидуальная сборка. Пусть присылают именно тот дистрибутив, на который срабатывал продукт

 

 

Дистрибутив... ничем... не.. детектируется...

 

Вот после этого ответа я на некоторое время потерял способность выражать свои мысли. Т.е специалист "Лаборатории" похоже не удосужился установить программу согласно приложенной инструкции, а просто проверил реакцию антивируса на запуск (или может просто наличие) Setup.exe

 

Я сдержанно постарался объяснить, что на сам дистрибутив антивирус не реагировал и разница между "индивидуальными сборками" только в расширении одного файла, и для того что бы воспроизвести ситуацию, программу нужно сначала установить.

 

Получаю ответ:

Здравствуйте, Сергей!
Я запрошу у Вас дополнительную информацию, чтобы исключить варианты с не обновленными базами и узнать, на каких сборках воспроизвести описанную Вами ситуацию: 
1.      Укажите, пожалуйста, полную версию продукта, например, Kaspersky Internet Security 2014 (14.0.0.4651).
2.      Укажите дату и время обновления баз. Желательно сделать скриншот.
Спасибо за Ваше терпение.

 

 

Хорошо, Сергей, спасибо за быстрый ответ.
Еще вопрос, а какая операционная система и её версия? Где происходит данное срабатывание

 

 

11 Октября

 

 
Ответ от вирусных аналитиков получен, тестирование с их стороны было проведено, срабатывание нашего продукта на Ваше ПО было воспроизведено.
 
«Подпись «ReactOS Foundation» является скомпрометированной и используется вредоносными драйверами, которые «убивают» антивирусные продукты. 
Поэтому единственный способ решить проблему в данном случае – переподписать драйвер нормальной подписью.»

Речь идет о драйвере aspia_x32.sys. 

 

 

 

И вот это уже было похоже на вдумчивый ответ технического специалиста. И я бы в него поверил, но это только "Если бы"

 

Собравшись с  силами, я постарался объяснить Олесе, что здесь имеет место какое-то недоразумение, потому что :

 

a)  Насколько мне известно, В случае если подпись себя компрометирует,  отзывается сертификат. Сертификат никто не отзывал !

б)  На том же самом компьютере, с тем же самым антивирусом, я запускаю другую программу, которая использует тот же драйвер с той же подписью и антивирус при этом молчит.

Кстати, пока писал этот пост, решил попробовать еще проще ) Я запустил acmd.exe руками из командной строки, после чего он загрузил драйвер и антивирус опять же не сказал ни слова. Ошибка снова появилась, когда  acmd.exe стал запускаться как внешний модуль основным исполняемым файлом )

 

Что касается ранней версии продукта, то 
«В ранней версии программы есть драйвер, но по факту он не грузится. Удалили этот драйвер из папки, куда установилась программа, и без него все нормально работает. По логам тоже драйвер этот программа не грузит, вот и нет детектирования.»

 

 

Рекомендацией наших вирусных аналитиков было и остается «Переподписать драйвера, у которых используется подпись ReactOs Foundation».

 

 

По поводу квадратно-гнездовых методов эвристического анализа типа "Драйвер не используется, смотрите, мы его удалили и оно прекрасно работает"

Я Олесе пояснил, то драйвер догружается, когда нужно получить данные от DMI и раздел "данные DMI" в программе просто не работает, а сама программа очень предусмотрительно оставляет в журнале событий Windows Запись "Сбой при запуске службы "Aspia" из-за ошибки 

Не удается найти указанный файл."

 

Я даже не хочу шутить на тему того, что можно было бы с тем же успехом оторвать такому аналитику голову, которая "по факту не используется" и скорее всего без нее тоже "все бы нормально работало"...

 

К вопросу о цифровой подписи - Вообще так если между нами "Программистами" это удовольствие стоит денег, причем заметных и требует времени. По этому я бы на  месте сотрудников компании 2 раза все перепроверил, прежде чем давать такие заключения.

 

Ну, и если все выше описанное, еще  не заставило вас подумать о том что бы навести порядок в своих рядах, добавлю просто для смеха -

 

9 Октября я получил в ответ на сообщение о ложном срабатывании письмо (KLAN-1098115596)

 

 
Здравствуйте,
 
Данное ложное срабатывание будет исправлено. Детектирование прекратится в течение 6 часов.
 
С уважением,
Константин Марков | Вирусный аналитик | ЗАО "Лаборатория Касперского"

 

 

 

И по итогу мы имеем три заключения от трех экспертов по трем обращениям

 

Первый так и не смог воспроизвести эту проблему

Второй ответственно заявляет, что проблема в подписи. Хотя мы уже выяснили, что это не так.

Ну а третий, эту проблему уже 4 дня назад решил !!! Но так ничего и не изменилось


Наверное, для того что бы все вышесказанное никому не показалось обычным флудом или нытьем, рассмотрим эти строки как вступление...

 

Поймите меня правильно. Прошло уже 10 дней. Это время, Это деньги. А нам нужно работать. С самого начала,  я задал три вопроса. На первый, я  ответ получил, это - whitelist. Но все свои замечания по этому поводу я уже высказал. Поскольку ни один из сотрудников компании, с которыми я смог связаться, не способен решить такую, казалось бы, простую проблему, я обращаюсь к человеку, фамилию которого носит сама компания и ее продукты. Тем более что и ветку выбрал соответствующую.

 

Евгений Валентинович, есть ли какая-то возможность организовать полноценную обратную связь со сторонними разработчиками ? Ведь я уверен что я с этим сталкиваюсь уже не первый.И проблема ведь даже не в конкретной программе и антивирусе, а в ситуации, когда Ваша Компания, на правах сильного, на правах первого, лишает возможности других разработчиков заниматься своим делом. После чего Мне приходится писать письма, 10 раз что-то объяснять вашим сотрудникам, рассказывать все эти истории на форуме, выискивать контакты, звонить, опять объяснять и ждать у моря погоды. А все сотрудники при этом положив болт или в лучшем случае сделав вид, что работают, смотрят на меня как на занозу в заднице ) 

 

Вы только поймите правильно,   я ничего не хочу сказать, но я мог бы чуть больше времени потратить на то, что бы написать программу таким образом, что бы ОНА работала, а ваш антивирус тихо сворачивался в уголок и у себя в журнале запись типа "Ой, меня убили. Я ничего не могу с этим сделать"

 

Вы ведь понимаете, что так никто не делает ? И тогда бы уже ВАМ пришлось писать в нашу тех. поддержку.  И 10 дней показались бы непростительной задержкой, и такое отношение вам бы тоже скорее всего не понравилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какой у вашего драйвера aspia_x32.sys md5? сейчас скачал последнию версию aspia  и файл aspia_x32.sys  доверенный http://whitelist.kaspersky.com/advisor-ru#search/0xA65E2339B2154201C21F75F77E9374F7

 

 

Up. Сразу не заметил, оказывает подпись то уже протухла 

post-8190-0-79978400-1381738218_thumb.jpg

Изменено пользователем kilo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ANNT, добрый день. Разобрались мы с Вашим обращением. Проверили еще раз - вот что получилось:

 

Ваше ПО используется для удаленного управления компьютером. Оно считается потенциально опасным, поскольку им может воспользоваться злоумышленник (сами понимаете как). Посему срабатывание не является ложным. Однако классификация приложения изменена на not-a-virus:PDM:RemoteAdmin.Win32.Ant.a

 

Противоречий в ответах больше быть не должно. Благодарю за детальное описание инцидента!

 

Родион.

  • Улыбнуло 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Немного подскажу - вам на текущий момент необходимо на ПК с KIS  добавить в доверенную зону  антивируса Ваше ПО  с вердиктом not-a-virus:PDM:RemoteAdmin.Win32.Ant.a 

Эта статья в БЗ Вам поможет - http://support.kaspersky.ru/10017#block2

 

Сообщение от модератора MiStr
Некоторые сообщения темы выделены в отдельный топик: http://forum.kasperskyclub.ru/index.php?showtopic=41658

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Radoslaw, я конечно извиняюсь, но это еще больший бред, чем тот, что я слышал от Аналитиков и противоречий только добавилось.

 

 

Уж не знаю, чем сейчас не доволен KIS, но изначально конфликт был с модулем acmd.exe, который только собирал данные и сохранял их в xml файл.

 

 

 

поскольку им может воспользоваться злоумышленник (сами понимаете как)

 

Нет. не понимаю

 

И сразу хочу расставить точки над i. Злоумышленник не может этим воспользоваться по ряду причин.

Я укажу 3 

- Программа сама инициирует исходящее, шифрованное соединение к серверу, по которому передаются данные 

- Целостность программы обеспечена отдельной электронной подписью

- Программа принимает команды на удаленное управление только по установленному соединению и только в зашифрованном виде. Данные Шифруются ключом, который знает ТОЛЬКО пользователь системы !

 

И Это в отличии от проблем с безопасностью типа :

Цитирую :

 processHackera – аналог драйвера от Руссиновича. А через этот драйвер можно грузить все, что угодно и убить антивирусный продукт

И ваш [...] антивирус понятия не имеет, что это за соединение и что по нему передается.  Не говоря уже о том, что в данный момент, реализовано только управление через запуск полученных .bat файлов. И НИКТО даже не пытался воспроизвести эту функцию, в том числе Я. Все застряло на куда более простых задачах.

 

По правде говоря, я уже смирился с мыслью о том, что нашей системе придется просто пережить Ваш антивирус. Тем более что пообщавшись с Бета-тестерами я узнал, что с многими другими продуктами ЛК наша программа не конфликтует. В частности с Endpoint Eecurity. А от KIS 2014 отказались почти все сисадмины, которые снесли ее через 10 минут и установили предыдущую версию.

 

Я просто не устаю удивляться тому, как Сотрудники ЛК все больше садятся в лужу, с каждым своим последующим диагнозом. И если я еще хоть как-то готов был ПОНЯТЬ, но НЕ ПРИНЯТЬ объяснение с подписью, то объяснения типа "Ваше ПО используется для удаленного управления компьютером" - ПРОСТО АБСУРД ! причем высосанный из пальца.

 

И возвращаясь к основной теме "Поддержка для разработчиков" - Я все еще хочу, хотя уже и не очень надеюсь, услышать ответ от Евгения Касперского.

 

Спасибо

Изменено пользователем Kapral
Удалил излишнюю эмоциональность

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я долго молчал, но последний пост был шикарен ;)

 

 

 


И ваш [...] антивирус понятия не имеет

Вы в этом уверены на 100% ;)

 

 

 


А от KIS 2014 отказались почти все сисадмины

Ого как круто.... ;)
Извините но это не сисадмины.... а так эникейщики, ни один нормальный сисадмин на работе не поставит домашний продукт... Разве что если есть только 5-8 компов

 

 


Вообще бы я порекомендовал бы вам не столь сильно буянить, и немного лучше изучать то с чем сталкиваетесь - не будет дальше столь же стыдно
 

  • Согласен 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А по существу ?

 

 

 

Вообще бы я порекомендовал бы вам не столь сильно буянить, и немного лучше изучать то с чем сталкиваетесь - не будет дальше столь же стыдно

 

Ну, буянить то я и не собирался. Тут, как говорится из песни слова не выкинешь. Вашу редакцию моего поста считаю вполне обоснованной. А вот суждения безразрядников в должности Модератор, по вопросам связанным с проектированием и разработкой Информационных Систем, а также попытки этими суждениями меня пристыдить, считаю излишними )

 

А вообще, я хотел бы попросить не вмешиваться в предмет обсуждения людей, которые не имеют никакого отношения к Системному Программированию. Это только создает лишнее недовольство и непонимание среди собеседников

 

Заранее, Спасибо )

  • Согласен 1
  • Не согласен 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


А вообще, я хотел бы попросить не вмешиваться в предмет обсуждения людей, которые не имеют никакого отношения к Системному Программированию
форум открытый и каждый имеет свое мнение ;)
И если я или другой модератор не вынесли топик в другую ветку, то у них свое мнение на этот счет ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Совершенно верно ! Именно по этому я просто попросил ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...