Dr web spider agent не запускается

Обновлено: 04.07.2024

В этой статье я хочу более подробно рассказать о проблемах протокола обновления в антивирусе Dr.Web, благодаря чему, в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости я впервые увидел в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret), и т.к. факт наличия уязвимости уже известен, то особого смысла в еще одной публикации не было. По крайне мере, до одного момента.

В обсуждении статьи «Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД» меня искренне удивила реакция некоторых читателей, и предположительно одного из сотрудников компании Dr.Web, который отказался признавать наличие проблем в ПО. Поэтому, было решено самому разобраться в деталях, а также проверить возможность эксплуатации. Надеюсь, эта публикация поспособствует скорейшему исправлению ситуации.

Исходные данные:

В качестве «подопытного» выбран Dr.Web версии 6.0, как обладающий множеством сертификатов: ФСТЭК, ФСБ, Минобороны РФ. Остальные версии не рассматривались, так что, возможно в них присутствуют аналогичные проблемы, а возможно и нет. В ходе эксперимента все настройки антивируса выставлены по-умолчанию, встроенная защита НЕ отключалась. В качестве операционной системы используется Windows 7.

Подробный список программных модулей антивируса и их версий на момент тестирования

Dr.Web ® Virus-Finding Engine drweb32.dll (7.00.9.04080)
Dr.Web ® Scanning Engine dwengine.exe (7.0.1.05020 (Build 9393))
Dr.Web ® Windows Action Center Integration dwsewsc.exe (7.0.1.05020 (Build 9393))
Dr.Web File System Monitor spiderg3.sys (6.0.10.12290)
Dr.Web Protection for Windows dwprot.sys (7.0.0.08090)
SpIDer Agent for Windows spideragent.exe (6.0.5.10310)
SpIDer Agent admin-mode module for Windows spideragent_adm.exe (6.0.5.10310)
SpIDer Agent settings module for Windows spideragent_set.exe (6.0.5.10310)
SpIDer Mail ® for Windows Workstation spiderml.exe (6.0.3.08040)
SpIDer Mail ® for Windows Workstation settings module spml_set.exe (6.0.3.08040)
Dr.Web Winsock Provider Hook drwebsp.dll (6.0.1.04140)
Dr.Web Winsock Provider Hook drwebsp64.dll (6.0.1.04140)
Dr.Web© Scanner for Windows drweb32w.exe (6.00.16.01270)
Dr.Web ® Console Scanner dwscancl.exe (7.0.1.05020 (Build 9393))
Dr.Web ® Shell Extension drwsxtn.dll (6.00.1.201103100)
Dr.Web ® Shell Extension drwsxtn64.dll (6.00.1.201103100)
Dr.Web Updater for Windows drwebupw.exe (6.00.15.201301210)
Dr.Web Helper drwreg.exe (6.00.12.201102110)
Dr.Web SysInfo dwsysinfo.exe (7.00.3.201204270)
DrWeb ® Quarantine Manager dwqrui.exe (7.0.1.05020 (Build 9393))
Dr.Web Adds-on unpacker drwadins.exe (6.00.0.02270)
Dr.Web ® for Microsoft Outlook Settings drwebsettingprocess.exe (6.00.0.201101130)
Dr.Web ® for Microsoft Outlook Messages drwmsg.dll (6.00.0.201101130)
Dr.Web ® for Microsoft Outlook drwebforoutlook.dll (6.00.0.201101130)

Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP кэша или как-то еще). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети:

Описание уязвимости

.>UX.E… (другие данные опущены)

Запрашиваемый файл представляет собой архив, сжатый по алгоритму lzma (используется в 7-Zip). После распаковки сам файл выглядит примерно так:

Шестнадцатеричные значения рядом с именами файлов представляют собой контрольные суммы файлов, вычисленные по алгоритму crc32. В данном случае, контрольные суммы используются для поддержания «версионности» файлов.
Также можно увидеть, что механизм обновлений может использовать переменные среды, вроде %CommonProgramFiles%, %SYSDIR64% и т.д. – т.е. файлы можно заливать не только в папку Dr.Web, но и другие системные директории

\J. 6G. >u. y$_naykP. x. h… . J. QS. 7..(другие данные опущены)

В том случае, если контрольные суммы файлов из полученного списка обновления отличаются от используемых, то клиент запрашивает патч существующего:

Если патч получить не удается или файла ранее не было в системе, то идет запрос на новый файл целиком:

Обновляемые файлы также идут без каких-либо проверок, в открытом виде, либо просто запакованые lzma.

Эксплуатация

Далее запускаем непосредственно процедуру отравления arp-кэша и подмены dns:

Таким образом, трафик после эксплуатации пойдет по следующей схеме:

Принимает входящее соединение
Формирует метку времени и отвечает на запрос timestamp
Формирует файл с дополнительной информацией drweb32.flg
Формирует файл со списком обновлений и запаковывает его в lzma архив drweb32.lst.lzma
Отдает фейковое обновление на запрос клиента

При запуске, скрипт начнет принимать соединения и в ответ на запрос обновления выдаст фейковое обновление для файла drwebupw.exe

Клиент успешно его примет и перезапишет оригинальный компонент:

Если все прошло нормально, то при очередной попытке обновиться, от клиента придет коннект:

После обновления от 11.04.2013 и установки компонентов drweb ss потребовал перезагрузку и не запускается.. windows выдает ошибку, прикрепил в файле. На другом ноуте все нормально работает, в чем может быть причина?

Прикрепленные файлы:

xxdrwebxx,

зайдите в папку с drweb, запустите файл dwsysinfo.exe , соберите отчёт.

в логе drweb вся моя судьба расписана если вы не против я удалю его позже

в логе drweb вся моя судьба расписана если вы не против я удалю его позже

ошибку случаем не нашли? у меня неделю назад вылетел spider agent, ранее выбивал ошибку при запуске.

теперь вообще не запускается. В диспечере задач видно. что запустился, но через секунду вырубается без вывода ошибки

Удалил, поставил новый дистрибутив с сайта (раньше 7-й был). Но проблема осталась.

скажите как без агента запустить настройки фаервола?

раньше забил на проблему, думал с обновлением само пройдет, но повидимому нет)))

а то при разработке случайно заблочил свою программу, теперь проблема настройки встала актуальней %)

Пока тех.поддержку дождешься %)

вобщем. ситуация такая была. Антивирь по человечески удаляться не хотел. Каждый раз писал, что нужна перезагрузка и восстановление. На английском.

Удалил ремовером, удалил папку. Переустановил не помогло. И опять удаляться не собирался по человечески.

Пошел на кардинальные меры, Снес ремовером, нашел все папки и файлы связанные с drweb. Заодно почитал про папку Prefetch и файлы pf. Думаю дело было в них, но уже не стал испытывать судьбу эксперементами, досношал все остальное, что нашлось. Почекал реестр, было пусто.

Установка по новой, перезагрузка. Вуаля, агент появился в трее.

проблема была в системе, ясно понятно. Но что могло глюкануть, хз

упс, рано обрадовался) Дальше ждем поддержку

проработав минут 15, веб сообщил, что установлены приоритетные обновления и попросил перезагрузиться

после чего, агент опять не запускается. в трее пусто. и снова не удаляется веб

Логика - замечательная вещь. Однако против человеческого мышления она бессильна.

Некоторым помогало.

ошибку случаем не нашли? у меня неделю назад вылетел spider agent, ранее выбивал ошибку при запуске.
теперь вообще не запускается. В диспечере задач видно. что запустился, но через секунду вырубается без вывода ошибки
Удалил, поставил новый дистрибутив с сайта (раньше 7-й был). Но проблема осталась.

после чего, агент опять не запускается. в трее пусто. и снова не удаляется веб

Фикс в тестировании уже.

Вам что нужно? Снести? Тогда Restore, вероятно, снесет продукт. Только не факт, что снесет корректно.

Логика - замечательная вещь. Однако против человеческого мышления она бессильна.

Уточню, что "фикс в тестировании" относится к ошибке удаления, не к завершению работы агента.

Да, присоединяюсь к вопросу - стоит ли (или был ли когда-либо установлен ранее) АСКОН Kompas 3d?

— Чарли, нам нужно поговорить. Есть проблема.
— Почему ты никогда не говоришь «есть решение»?

нет, компасом никогда не пользовался. Стоит макс. 2009-ый

странное дело только на моем ПК, кнопка RESTORE не помогает. Просто делает операции свои, перезагружается. Веб все так же работает в фоне без агента, и на удаление опять те же самые окошки.

Но веб замечательно сносится ремовером, с аптечки сисадмина. После перезагрузку удаляю папку в Program Files и ProgramData. Ставлю по новой дистр, обязательно отметив пункт "получить регистрацию позднее", тогда не запускается обновление антивируса по ходу установки. И он работает, агент висит в трее. Стоит только забить свой ключ, Антивирус обновляется, говорит что нужна перезагрузка т.к. установленны приоритетные обновления. Перезагрузка. Потом после логина в систему появляется надолго черный экран, и минуты через две запускается система, но уже без агента в трее. Вчера несколько раз тестил с удалением восстановлением на этом ПК.

Странное дело, что на двух других пк, на всех трех стоит Win7x64U, антивирус работает нормально. И при этом обновляется. Лицензия у каждого ПК своя. Вот, на текущий момент веб запущен в режиме с необновляемыми базами, что бы в сеть не ломился, долго конечно я так не проработаю. Зато проект сдам, потом буду дальше разгребаться с ошибкой и тех. поддержкой

Из платных антивирусов я долгое время предпочитал Dr.WEB. Работал он всегда шустро, и ложных срабатываний было минимум. Поскольку сам ни разу не обжигался с этим продуктом – без задней мысли рекомендовал его всем своим знакомым. Все было хорошо, но вот 9-ая версия паучка-спасителя, откровенно говоря, разочаровала. Друг поменял свой офисный компьютер и попросил установить ему Windows и антивирус. На все продукты были лицензии, поэтому я сразу пошел на сайт Dr.Web и загрузил последнюю версию (9-ю) антивирусного пакета.

Установка прошла быстро и никаких глупых вопросов инсталлятор не спрашивал. Все как обычно - выбираем нужные компоненты и ждем пару минут. Радость закончилась после предложения выполнить перезагрузку. Перезагружаю компьютер и вижу, что у Dr.WEB почему то не запускается Dr. Web Guard. Недолго думая, переключаюсь в административный режим и пробую включить Guard принудительно. Система на пару секунд задумалась и Guard запустился. «Мелкий глюк» - подумал я и решил открыть Google Chrome. Вот тут и началось самое интересное.

Ни Google Chrome, ни одно другое приложение не хотели стартовать. В диспетчере процессов появлялись процессы запускаемых приложений и тут же завершались. Мыслей о том, что Dr.WEB может с кем-то конфликтовать – отпали сразу, т.к. система была чистой и ничего кроме установленного бразуера с офисом не было.

Пришлось опять перезагрузиться и вновь лицезреть предупреждающий значок агента Dr. Web. Guard опять не запустился и я больше не решился повторять попытку ручного запуска. Вместо этого я запустил браузер и принялся гуглить решение возникшей проблемы. Оказалось, что подобных трудностей у пользователей была вагон и маленькая тележка.

Я перепробовал различные решения, но ни одно из них не смогло мне помочь. В итоге я решил поэкспериментировать самостоятельно.

Ошибка запуска Dr. WEB Guard решена

Попробовав разные методы научного тыка, я решил заострить внимание на менеджере лицензий. Файл с лицензионным ключом я выбирал в процессе установки и по идее он должен был нормально подхватиться. На деле все оказалось иначе. Файл вроде подхватился (информация о лицензионном ключе была в соответствующем окне), но тот же сканер его почему-то не видел.

Ошибка запуска Dr. WEB Guard решена

Все, после этих действий паучок должен работать как надо. Уверен, что эта штука спасет и от множества других проблем, которые не решаются простой переустановкой. Пользуйтесь на здоровье!

Понравился материал?

Возможные проблемы при инсталляции Др Веба

Конечно же, рассматривать каждую ошибку нужно на конкретном примере, поскольку ее возможный источник зависит от выбранного ПО и операционной системы. Но все же стоит подробнее изучить проблемы в целом, которые могут дать о себе знать при инсталляции антивируса.

Конфликт с другим защитным ПО. Если на вашем ПК уже установлены антивирусные программы, то Др Веб может не завершить установку или после инсталляции не запускаться. А все потому, что он конфликтует с другими схожими программами.
Неправильная деинсталляция. Если у вас уже был установлен Dr Web раньше, но вы его удалили, а теперь пытаетесь снова установить, то из-за остаточных файлов в системе может произойти сбой.
Нарушения в работе ОС. Если в системе отсутствуют какие-либо файлы, то установка может быть не завершена.

Для решения данных проблем нужно выполнить действия в зависимости от источника. Если это конфликт, то сперва удалить другой антивирус. Если была неправильно проведена деинсталляция старого Др Веб, то загрузить специальные утилиты для полной очистки ПК от файлов программы, а после повторить установку. Если же имеют место проблемы в самой ОС, то нужно провести восстановление системы. Большинство проблем с Dr Web (не устанавливается, не запускается, зависает и пр.) это должно решить.

Др Веб зависает во время установки на Windows 10

Еще одна распространенная проблема, которую стоит рассмотреть отдельно – это остановка инсталляции антивируса на ПК с системой Windows 10. Возможно такое, что во время загрузки файлов инсталлятор «зависает», что приводит к полному бездействию всей ОС. Помогает только перезагрузка компьютера. Если с операционной системой все в порядке, например, она только что установлена, файл инсталлятор правильно загружен и не поврежден, то Dr Web зависает при установке на Windows 10 по одной причине – несовместимость. Чаще всего это касается Доктора Веба версии 10. С более свежей 11 версией этой проблемы не возникает. Так что решение простое – загрузить более свежую редакцию антивирусной программы.

Отключите протоколы Агента и Сетевого Инсталлятора. Для этого, используя Консоль, откройте меню Администрирование, пункт Конфигурация сервера, вкладка Модули. Удалите флаги “Dr.Web® Enterprise Agent” и “Dr.Web® сетевой инсталлятор” и нажмите OK. Перезапустите Сервер;
Экспортируйте расписание Dr.Web Enterprise Сервера в файл. Для этого при использовании Консоли откройте меню Администрирование, пункт Расписание сервера, кнопка панели инструментов Экспортировать настройки в файл;
Для экономии места в базе данных удалите расписание Dr.Web Enterprise Сервера. Для этого при использовании Консоли: откройте меню Администрирование, пункт Расписание сервера, кнопка панели инструментов . Удалить эти настройки;
В случае многосерверной сети удалите все настроенные межсерверные связи. Это можно сделать через меню Администрирование, пункт Связи;
Поместите файл с серверным ключом enterprise.key в подкаталог etc каталога установки Сервера вместо имеющегося там одноименного файла;
Перезапустите Сервер;
В каталоге антивирусной сети Консоли выберите группу Everyone, после чего в контекстном меню группы Everyone выберите пункт Импорт ключа;
В открывшемся окне укажите ключевой файл для рабочей станции (agent.key) и нажмите OK;
Включите протоколы Агента и Сетевого Инсталлятора, отключенные в п. 1;
Настройте расписание Сервера заново или импортируйте из файла старое расписание, сохраненное в п. 2;
В случае многосерверной сети настройте все необходимые межсерверные связи, удаленные в п. 4;
Перезапустите Сервер.

Чтобы установить новые ключевые файлы в программный комплекс, если значения параметров ID1 совпадают :

Поместите файл с серверным ключом (он должен иметь название enterprise.key) в подкаталог etc каталога установки Сервера вместо имеющегося там одноименного файла;
Перезапустите Сервер;
В каталоге антивирусной сети Консоли выберите группу Everyone, после чего в контекстном меню группы Everyone выберите пункт Импорт ключа;
В открывшемся окне укажите ключевой файл для рабочей станции (agent.key) и нажмите OK;

Каков алгоритм обновления вирусных баз для Dr.Web Enterprise Suite (ведомственный контур)? Как проводить обновление вирусных баз на ПК объекта в случае отсутствия локальной сети? Выход в Интернет организован только для одной рабочей станции.

Обновите вирусные базы на ПК, который имеет выход в Интернет;
Перед проведением процедуры обновления вирусных баз необходимо на всех ПК открыть доступ к скрытым файлам и папкам (Пуск => Настройка => Панель Управления => Свойства папки => Вид => Показывать скрытые файлы и папки);
Найдите папку Bases (C:\Documents and Settings\All Users\Application Data\Doctor Web\Bases) на ПК, который имеет выход в Интернет, и скопируйте содержимое этой папки на внешний носитель. В этой папке размещаются только вирусные базы;
Отключите «самозащиту» на ПК, который не имеет выхода в Интернет. Для этого в контекстном меню значка Dr.Web (находится в трее, справа внизу) выбрать «Отключить самозащиту»;
Поместите с внешнего носителя в папку Bases на ПК, не имеющего выход в Интернет, содержимое одноименной папки, скопированное с ПК подключенного к Интернет (см. п.3);
Включите «самозащиту» (действия аналогичные п.4);

Как устранить загрузку сервером Apache центрального процессора?

Наберите в командной строке: netsh winsock reset;
После выполнения, перезагрузите ПК.

Нет соединения с ИВК “Юпитер».
Перезапуск ИВК «Юпитер» на шлюзе или АРМ. Переустановка ИВК «Юпитер» на АРМе

Нет доступа к серверу ГАС «Правосудие».
Произвести проверку подключение к ЛВС, настройку IP адресов, перезагрузка АРМ или сервера

Аварийное завершение работы ИВК Юпитер.
Регламентное обслуживание, с восстановлением настроек

Не запускается ИВК Юпитер.
Необходимо переустановить дистрибутив ИВК «Юпитер» на АРМ. Требуется доработка ПО ИВК Юпитер разработчиком.

Отсутствует ИВК Юпитер.
Необходимо перезапустить ИВК Юпитер. Требуется доработка ПО ИВК Юпитер разработчиком.

Устаревшие антивирусные базы (Dr. Web) в результате потери соединения с главным сервером обновлений в Москве
Выкачивание последних антивирусных баз через страницу обновления антивируса напрямую из суда посредством интернет-компьютера

Аварийное завершение работы ИВК Юпитер

Регламентное обслуживание, с восстановлением настроек

Нет связи с ПИ ИВК Юпитер

Перезапуск шлюза серверного сегмента сети,

Перезапуск ПИ ИВК Юпитер на Главной Машине

Не работает раздел "Настройка подсистем", нет возможности делать запросы к БД в ПИ ИСП

Произвести перезапуск службы mysql.

Ошибка возникает после проведения автоматического или ручного резервного копирования БД Oracle без отключения службы mysql

Нет соединения с сервером Dr.Web

Проведение регламентных работ

Некорректная работа антивируса Dr Web, отсутствие обновления

Коррекция работы клиентской и серверной части

Нет доступа к банку судебных решений ВС РФ

Необходимо провести перезагрузку межсетевого экрана «Кольчуга»

Ошибка при обновлении антивирусных баз

Необходима переустановка Dr.Web ES 6.

Необходима переустановка клиентской части Dr.Web

Некорректная работы по активации и установке нового ключа dr.web

Необходима своевременная активация и установка ключа Dr. WEB

Необходимо избегать аварийных отключений рабочих станций и серверов при которых возможно повреждение базы данных. В случае повреждения базы данных необходимо обращаться к закрепленному инженеру для устранения проблемы

Читайте также:

Dr web spider agent не запускается

Исходные данные:

Описание уязвимости

Эксплуатация

Прикрепленные файлы:

Ошибка запуска Dr. WEB Guard решена

Ошибка запуска Dr. WEB Guard решена

Понравился материал?

Похожие записи:

Возможные проблемы при инсталляции Др Веба

Др Веб зависает во время установки на Windows 10