Як захист від Microsoft видалила код на серверах. Байка про Defender

Сьогодні на календарі 16 Серпня 2016.
Windows Defender видалив робочий код з хоста. Як це було:

Обговорюючи з колегою новини про низку проблем у Microsoft, які рясніють в новинах. Там зависла, там пропало, там ще щось- мабуть накаркав собі проблем.
Працюючи на віртуальному сервері з кодом під IIS раптом отримую попередження про те, що Windows Defender виявив Worm всередині багатьох ASP файлів на хості і настійно рекомендує видалити.

Вся принадність у тому, що варіантів не пропонує Defender. Файли вже порожні і залочені. До вчора цієї проблеми не існувало. Будь-яка спроба відновити з репозиторію файли — викликає обурення у Defender, з подальшим видаленням файлів.
Перевірка налаштувань показала що Windows Defender оновився 8/15/16 до версії 1.225.3982.0.
Сканер наполегливо бачив Virus:VBS/VBSWGbased.gen в ASP (VBScript ) файлах.
Перевірка одного з файлів на virustotal.com показала тіж результати. З 53х тестових перевірок — тільки Microsoft Defender знаходить Virus:VBS/VBSWGbased.gen.



Далі йде багато працює спроба зрозуміти, що саме змусило знайти і видалити вірус код. Перебираючи варіанти рядків і перевіряючи сканером кожну сходинку — вдалося вилучити і отримати мінімальний тестовий файл який викликає безумство у Defender.
Function SafeSQLLogin()
Execute(SafeSQLLogin())
End Function
Function Stream_StringToBinary(Text)
Set BinaryStream = CreateObject("ADODB.Stream")
BinaryStream.Type = adTypeText
BinaryStream.CharSet = "us-ascii"
BinaryStream.Open
BinaryStream.WriteText Text
BinaryStream.Position = 0
BinaryStream.Type = adTypeBinary
BinaryStream.Position = 0
Stream_StringToBinary = BinaryStream.Read
Set BinaryStream = Nothing
End Function
Function strCrypt()
For i = 1 To Len(Text)
End Function

Код дивний тільки тому що я видалив максимально все що зміг, поки сканер все ще бачив Хробака. Цей текст мінімальний, будь-яка зміна або видалення однієї з рядків — перестає зводити з розуму Defender.

Update:
більш свіжа версія тексту для прийняття його за вірус:
Function S
Execute S
End Function
For i To Len T


Зберігши текст в файл як test.txt і відправивши на virustotal.com все ще видає підтвердження про хробака будь ласка, незважаючи на те що Defender вже отримав кілька нових оновлень.
Ось результат від virustital.com
Result

Спроба зв'язатися із Tech центром від Microsoft в режимі чату, трохи підняло настрій. Дівчина+фахівець наполегливо намагалася допомогти мені відновити систему і RestorePoint видаючи команди типу SCN та ін Всі спроби пояснити проблему не у мене з комп'ютером, вели навколо наполегливою спроби вирішити мою проблему з моїм комп'ютером. Зрозумівши що повідомити про проблему з Defender не вийде, я зв'язався з Адміністраторами хостів з попередженням, що у нас можуть виникнути проблеми на всіх серверах.
Адміністратори як зазвичай не доступні. Сподіваюся, що вони відгукнуться не як зазвичай, коли вже щось звалилося. (сарказм)

Аналіз «шкідливого» коли, не дає розуміння ніякої логіки. Все веде до випадкового набору якихось збігів. Будь-які зміни у тексті, веде до того що Черв'як перестає перебувати. Але вся хитрість полягає в тому, що текст йде не поспіль!!! Цей код очищений від усього іншого і це тільки частина рядків, між цими рядками були сотні рядків іншого коду. Знаходження Хробака спрацьовувало тільки при існуванні цих рядків серед інших рядків коду вагою на 80kb. Значить це не шаблон, а швидше за регулярці знаходження якогось кол-ва певних слів або фраз. Іншої логіки я не побачив.

Нічого проти не маю, але щось останнім часом їх помилки чреваті величезними наслідками. У Адміністраторів існує тверде правило — Ніяких оновлень на серверах!!! Спочатку довгі тести на тестових машинах. Розумію що це звучить не ново — але виправлень від Microsoft повинні виправляти і захищати а не вбивати і створювати нові проблеми, що ще більш страшні.

P. S. Defender отримав чергову порцію оновлень, v1.225.4025.0 — але він все ще наполегливо блокує і видаляє файли на тестовому PC, на інших машинах він скрізь вимкнено.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.