Возможно, кому-то будет интересно узнать, чем закончилась моя история с NOD32.
Напомню, что после обсуждений, технических и других аспектов взаимодействия с NOD32, появился комментарий [предположительно] Павла Потасуева, Директора по IT российского представительства ESET:
Добрый день, хабралюди. Я как раз тот самый представитель руководства, к которому вы аппелируете в комментах.
Вчера я уже изучал этот пост, когда он был опубликован ещё в песочнице.
Первое: По существу могу заявить, что служба технической поддержки сделала всё что могла. Если ваше приложение при запуске выполняет какие-то подозрительные действия, то NOD32 честно об этом сообщает пользователю. Думаю, что это одна из тех функций, из-за которой люди и покупают антивирусы (быть уведомлённым о том, какие «левые» активности происходят на компьютере). Удалять или не удалять такого рода оповещения из нашего продукта – это не нам с Вами решать. Если бы NOD32 развивался «как все» и следовал советам «со стороны», то мы никогда бы не увидели прорыва в эвристических технологиях анализа.
Второе: Вы, как разработчик, должны прекрасно понимать приоритеты (ничего личного). Одно дело вносить изменения в эвристику под продукты MS или Adobe, а другое дело под ваш (не менее уважаемый) продукт (честно!). Было бы неприятно, если бы 60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах.
Компот: На самом деле эту проблему можно было бы исправить ещё в начале (и техподдержка так и сделала). Когда фальшивый детект произошёл во второй раз, надо было выдать вам специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз. Но специалистов такого уровня в штате техподдержки нет. Сама служба занимается всем перечнем вопросов, который описан на сайте нашей компании в разделе «техническая поддержка». В месяц честно обслуживаются до 36 000 обращений. В основном это вопросы домашних пользователей и SMB-сектора.
Мы ошиблись где-то в эскалации Вашего вопроса. Расследование проведём, корректирующее воздействие сделаем.
Десерт: мы в компании планируем весной запустить в работу новое подразделение, которое будет отвечать в том числе и за false positive — детект.
P.S.: никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Всё будет!
Аминь.
Павел Потасуев, Директор по IT российского представительства ESET.
Однако на мой вопрос:
Интересуют «специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз». Они последуют?
ответа не последовало, но благодаря существованию сервиса virustotal.com (огромное спасибо за подсказку AndrewTishkin ) стало возможным проводить эксперименты с отключением различных функций программы и исследованием реакции NOD, без его установки. По поводу того, что именно вызывает реакцию NOD, в комментариях к предыдущей статье было много споров и предположений: под сомнения были поставлены упаковщик, Eurikalog, прямое чтение памяти другого процессов, что-то ещё… После недолгих экспериментов ответ нашелся. Что-бы-вы-думали, оказалось тем самым, из-за чего «60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах»?
Это запись в реестр по кнопке «Добавить в автозапуск» в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Напомню, что после обсуждений, технических и других аспектов взаимодействия с NOD32, появился комментарий [предположительно] Павла Потасуева, Директора по IT российского представительства ESET:
Добрый день, хабралюди. Я как раз тот самый представитель руководства, к которому вы аппелируете в комментах.
Вчера я уже изучал этот пост, когда он был опубликован ещё в песочнице.
Первое: По существу могу заявить, что служба технической поддержки сделала всё что могла. Если ваше приложение при запуске выполняет какие-то подозрительные действия, то NOD32 честно об этом сообщает пользователю. Думаю, что это одна из тех функций, из-за которой люди и покупают антивирусы (быть уведомлённым о том, какие «левые» активности происходят на компьютере). Удалять или не удалять такого рода оповещения из нашего продукта – это не нам с Вами решать. Если бы NOD32 развивался «как все» и следовал советам «со стороны», то мы никогда бы не увидели прорыва в эвристических технологиях анализа.
Второе: Вы, как разработчик, должны прекрасно понимать приоритеты (ничего личного). Одно дело вносить изменения в эвристику под продукты MS или Adobe, а другое дело под ваш (не менее уважаемый) продукт (честно!). Было бы неприятно, если бы 60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах.
Компот: На самом деле эту проблему можно было бы исправить ещё в начале (и техподдержка так и сделала). Когда фальшивый детект произошёл во второй раз, надо было выдать вам специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз. Но специалистов такого уровня в штате техподдержки нет. Сама служба занимается всем перечнем вопросов, который описан на сайте нашей компании в разделе «техническая поддержка». В месяц честно обслуживаются до 36 000 обращений. В основном это вопросы домашних пользователей и SMB-сектора.
Мы ошиблись где-то в эскалации Вашего вопроса. Расследование проведём, корректирующее воздействие сделаем.
Десерт: мы в компании планируем весной запустить в работу новое подразделение, которое будет отвечать в том числе и за false positive — детект.
P.S.: никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Всё будет!
Аминь.
Павел Потасуев, Директор по IT российского представительства ESET.
Однако на мой вопрос:
Интересуют «специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз». Они последуют?
ответа не последовало, но благодаря существованию сервиса virustotal.com (огромное спасибо за подсказку AndrewTishkin ) стало возможным проводить эксперименты с отключением различных функций программы и исследованием реакции NOD, без его установки. По поводу того, что именно вызывает реакцию NOD, в комментариях к предыдущей статье было много споров и предположений: под сомнения были поставлены упаковщик, Eurikalog, прямое чтение памяти другого процессов, что-то ещё… После недолгих экспериментов ответ нашелся. Что-бы-вы-думали, оказалось тем самым, из-за чего «60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах»?
Это запись в реестр по кнопке «Добавить в автозапуск» в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
