شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - 32 آنتی ویروس اشتباهی یکسان کردند


32 آنتی ویروس اشتباهی یکسان کردند تاریخ : سه شنبه، 28 شهريور ماه ، 1396
موضوع : اخبار آنتي ويروس

32 آنتی ویروس به اشتباه یکی از سرویس های سرورهای ویندوزی را حذف کردند:

در آزمون های مقایسه های آنتی ویروس ها همیشه خطای شناسائی کاذب یا False Positive یکی از ملاک های برتری آنتی ویروس ها بوده است. اما هفته گذشته 23 آنتی ویروس در اشتباهی هماهنگ سرویس Windows Performance Log را به عنوان یک روت کیت شناسائی و حذف کردند. براي اطلاعات بيشتر  بر روي ادامه خبر كليك نمائيد.




به گزارش لابراتوآر ویروس شناسی کامیران پنجشنبه گذشته (23 شهریور 1396) در پی گزارش های واصله از مرکز ارتباط کامیران در مورد توقف سرویس های DNS سرور های ویندوزی مجهز به کنترل پنل Plesk برخی شرکت ها، کارشناسان امنیتی پس از بررسی موارد مذکور دریافتند که سرویس Windows Performance Log در این سرور ها توسط آنتی ویروس آنها متوقف شده و در پی آن سرویس های Windows Event Log و نهایتا سرویس های DNS سرور نیز متوقف شده است.

در بررسی های بیشتر مشخص شد که فایل WmiPerSrv.exe مربوط به این سرویس با امضای دیجیتالی
f8b8147e4d3788774f89e0201b36a31513f43cd96e0a2994e6cb261f1a3f231c
توسط 32 آنتی ویروس جهان به عنوان یک روت کیت شناسائی شده و حذف شده است.
 
گزارش شناسائی توسط 32 آنتی ویروس :
در پی این شناسائی به نظر کاذب نمونه های مربوطه و گزارشات به لابراتوآر های ویروس شناسی مربوطه ارسال شد که پس از 72 ساعت 9 آنتی ویروس مطرح اشتباه خود را اصلاح کردند :
 
گزارش اصلاح نرخ شناسائی 72 ساعت بعد از شناسائی اشتباه:
کدام سرور ها آسیب دیده اند ؟
خوشبختانه طبق اطلاعات شبکه ابری ESET تمام سرور های ویندوزی از این سرویس استفاده نمی کنند و تنها وب سرور های مجهز به کنترل پنل های Plesk و سرور های مشابه دارای سرویس مذکور هستند. طبق تصویر زیر در حدود 20% کاربران شبکه ESET LiveGirde از این سرویس استفاده میکنند:




چه اقداماتی بر روی سرور های آسیب دیده باید انجام شود ؟

مشترکین 9 آنتی ویروسی که تا زمان درج این خبر اشتباه مذکور را رفع کرده اند با بازگرداندن فایل WmiPerSrv.exe یا WmiApSrv.exe از قرنطینه و Restart سرویس های
Windows Performance Log
Windows Event Log
DNS Server
به وضعیت عادی باز میگردند. اما مشترکین 23 آنتی ویروس دیگر که هنوز این سرویس را حذف میکنند باید جهت رفع این مشکل با لابراتوآر ویروس شناسی آنتی ویروس خود تماس بگیرند.


کدام آنتی ویروس های به سرعت اشتباه خود را اصلاح کردند ؟

پس از ارسال نمونه های مربوطه آنتی ویروس های Kaspersky , Bitdefender , Panda , Emsisoft , F-Secure , Gdata اشتباه شناسائی خود را اصلاح کردند.


علت این تشخیص کاذب چه بوده است ؟

علت بروز این خطا نداشتن امضای دیجینالی معتبر توسط سرویس مذکور و همچنین اشتباه شناسائی آنتی ویروس های مذکور بوده است.


بررسی های بیشتر در حال انجام است ...

بررسی های بیشتر در این مورد در لابراتوآر ویروس شناسی کامیران در حال انجام است.

کاربرانی که سروهای آنها از آنتی ویروس های مذکور استفاده کرده و دچار مشکل شده است (حتی در صورت عدم داشتن سریال VIP پشتیبانی) میتوانند با مرکز ارتباط آنلاین کامیران به آدرس www.47251.ir یا مرکز تماس 02147251 به صورت شبانه روزی تماس حاصل نمایند تا مورد آنها نیز توسط لابراتوآر ویروس شناسی کامیران بررسی شود.

 

 


 

لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________

   


Windows Performance Log ، اشتباه شناسائی در سرویس، False positive ،



منبع این مقاله : شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender
http://portal.kamiranco.com

آدرس این مطلب :
http://portal.kamiranco.com/modules.php?name=News&file=article&sid=56