マイクロソフトからの保護がサーバー上のコードを削除した方法。 Defenderについての自転車

今日は2016年8月16日の予定表です。WindowsDefenderはホストから作業コードを削除しました。 どうだった？



マイクロソフトとの一連の問題に関するニュースを同僚と話し合います。 そこにぶら下がり、姿を消し、他に何かがあります。明らかに問題があります。 IISコードを使用して仮想サーバーで作業しているときに、Windows Defenderがホスト上の多くのASPファイル内でワームを検出したという警告が突然表示されます。削除することを強くお勧めします。



美しさは、Defenderがオプションを提供しないことです。 ファイルはすでに空でロックされています。 昨日まで、この問題は存在しませんでした。 リポジトリからファイルを復元しようとすると、Defenderが怒り、その後ファイルが削除されます。



設定を確認すると、Windows Defenderが8/15/16からバージョン1.225.3982.0に更新されていることがわかりました。 スキャナーは、ASP（VBScript）ファイルのWorm：VBS / VBSWGbased.genを永続的に見ました。 virustotal.com上のファイルの1つをチェックしても、同じ結果が示されました。 53xのテストチェックのうち、Microsoft DefenderのみがWorm：VBS / VBSWGbased.genを検出します。



次は、ウイルスがコードを見つけて削除した原因を理解するための何時間もの試みです。 行オプションを調べてすべての行をスキャナーで確認し、すべてを削除して、Defenderの狂気を引き起こす最小限のテストファイルを取得しました。

Function SafeSQLLogin() Execute(SafeSQLLogin()) End Function Function Stream_StringToBinary(Text) Set BinaryStream = CreateObject("ADODB.Stream") BinaryStream.Type = adTypeText BinaryStream.CharSet = "us-ascii" BinaryStream.Open BinaryStream.WriteText Text BinaryStream.Position = 0 BinaryStream.Type = adTypeBinary BinaryStream.Position = 0 Stream_StringToBinary = BinaryStream.Read Set BinaryStream = Nothing End Function Function strCrypt() For i = 1 To Len(Text) End Function
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

スキャナがまだワームを見ている間にできる限り削除したため、コードは奇妙です。 このテキストは最小限であり、行の1つを変更または削除すると、Defenderが狂ってしまいます。



更新：ウイルスにするためのテキストの最新バージョン：

 Function S Execute S End Function For i To Len T
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

テキストをファイルにtest.txtとして保存し、virustotal.comに送信すると、Defenderがいくつかの新しい更新を既に受け取っているにもかかわらず、ワームに関する確認を発行します。 こちらがvirustital.comの結果です



結果



チャットモードでMicrosoft Tech Centerに連絡しようとすると、少し気分が上がりました。 少女とスペシャリストは、SCNなどのコマンドを発行することで、システムとRestorePointの復元を絶えず支援しようとしました。 Defenderの問題を報告することは不可能であることを理解したので、すべてのサーバーに問題がある可能性があるという警告をホスト管理者に連絡しました。



通常、管理者はアクセスできません。 何かが既に崩壊しているとき、彼らがいつものように反応しないことを願っています。 （皮肉）



「悪意のある」分析は、ロジックの理解を提供しません。 すべてが偶然の偶然の組み合わせにつながります。 テキストが変更されると、ワームは停止します。 しかし、全体の秘isは、テキストが連続していないことです!!! このコードは他のすべてをクリアしており、これは行の一部にすぎず、これらの行の間には他のコードの何百行もありました。 ワームの検索は、これらの行が80kbのコードの他の行の間に存在する場合にのみ機能しました。 これは、これがテンプレートではなく、定期的に特定の数の特定の単語またはフレーズを見つけることを意味します。 他のロジックは見ませんでした。



私はマイクロソフトに対して何もしていませんが、最近、彼らの過ちは多大な結果をもたらしました。 管理者には厳格なルールがあります-サーバーの更新はありません!!! まず、テストマシンでの長時間のテスト。 これは新しいことではないことを理解していますが、Microsoftからの修正は修正して保護する必要があり、新しい問題、さらにひどいものを殺して作成するべきではありません。



PS Defenderは次のアップデートバッチv1.225.4025.0を受け取りましたが、テストPC上のファイルを永続的にブロックおよび削除します。他のマシンでは常に無効になっています。