avamsi.dll ja Windows Security loki

masi_d
masi_d Viestejä: 3 New Member
kohteessa Laitesuojaus

Hei

Törmäsin Windows Security lokeissa seuraavaan ilmoitukseen, joka toistui siellä useasti.

Valvontavirhe, Microsft Windows security auditing, 5038
Tiedostonimi: F-secure\TOTAL\epp\Endpoint Protection SDK\amsi\x64\avamsi.dll
"Koodin eheyden tarkistustoiminto määritti, että tiedoston näköistiedoston hajautusarvo ei ole kelvollinen. Tiedosto voi olla vioittunut luvattomien muutosten vuoksi, tai levylaite voi olla viallinen."

Ensimmäinen ajatus oli, että virustorjuntaohjelma voi olla kräkätty, mikä kielii samalla jostain suuremmasta ongelmasta, ja tämä virustorjuntaohjelman dll-tiedoston muuttaminen tehty todellisen haitan peittelemiseksi. Levyrikko tuntui epätodennäköiseltä.

Otin koneen välittömästi pois verkosta, ja oikeastaan jo päätin, että täytyy ihan varmuuden vuoksi hankkia uusi kovalevy ja asentaa sille kaikki alusta saakka uudestaan. Riski sille, että on jokin paha ongelma, vaikutti suurelta. Uuden levyn hankinnalla suljetaan samalla pois mahdollinen levyrikko.

Ilmeisesti kyseessä on kuitenkin vain F-Securen ohjelman toiminnallinen ominaisuus ja kyse samasta asiasta kuin täällä: https://community.f-secure.com/fi/discussion/122967/valvontavirhe-fsamsi64-dll
ja täällä: https://community.f-secure.com/fi/discussion/126482/fsamsi64-dll-audit-failure

Minusta ilmoitus antaa aivan liian vaarallisen kuvan tilanteesta sellaiselle käyttäjälle, joka ymmärtää asiasta hieman, mutta ei riittävästi (kuten minä). Kyllä virustorjuntaohjelmisto pitäisi kyetä suunnittelemaan niin, ettei käyttäjä lokeja selatessaan törmää tällaiseen ilmoitukseen, tai vaihtoehtoisesti asia pitäisi tiedottaa niin selkeästi esimerkiksi ohjelman asennuksen yhteydessä, ettei käyttäjä tästä huolestu.

Koska tiedosto, josta ilmoitus tuli, on nimeltään eri kuin linkkien takana olevissa tilanteissa, niin varmistan nyt kuitenkin vielä, että onhan tässä kyse samasta asiasta kuin noissa tapauksissa, ja uskaltaako kyseisen koneen ottaa vielä takaisin käyttöön ilman uudelleenasennuksia?

Onko tästä asiasta tiedotettu ylipäätään mistään, jos sitä hakee tiedoston nimellä avamsi.dll? Tukiartikkeleista en ainakaan löytynyt.

Tykkää Loistava

Hyväksytty vastaus

  • FS_Tia
    FS_Tia Viestejä: 316 Moderator
    Vastaus ✓

    Hei @masi_d! Kiitos viesteistäsi. Ketjuun aiemmin laitettu @JOnesin vastaus pitää ihan paikkaansa kyllä, eli virheestä ei tarvitse olla ollenkaan huolissaan. Voit ottaa tietokoneen takaisin normaaliin käyttöön.

    Ilmoitukset tulevat suoraan Windowsilta, emmekä siitä syystä pysty niihin vaikuttamaan. Laitoin asiasta kuitenkin meillä viestiä eteenpäin sisäisesti, jospa saataisiin julkinen tukiartikkeli julkaistua. Tällä hetkellä asiasta ei tosiaan vaikuta olevan julkista tietoa muualla, kuin näissä yksittäisissä yhteisön ketjuissa. Pahoittelen tätä!

    1Tykkää Loistava

Vastausvaihtoehdot

  • JOnes
    JOnes Viestejä: 1,334 Forum Legend

    Vahvistaako F-Secure admin/mode-tuki oheisen google gemini3:n tulkinnan "oikeellisuuden" @masi_d :n aiheelliseen kysymykseen.Ainakin vastauksen suhteellinen selkeys miellyttää ?

    "Ymmärrän täysin huolesi. Kun Windowsin tietoturvaloki alkaa huutaa koodin eheyden pettämisestä ja viittaa mahdolliseen korruptioon tai luvattomiin muutoksiin juuri tietoturvaohjelmiston kohdalla, reaktiosi (kone irti verkosta) oli täysin oikeaoppinen ja looginen.

    Lyhyt vastaus kysymykseesi: Kyllä, kyseessä on lähes varmasti täsmälleen sama tekninen ilmiö kuin linkittämissäsi keskusteluissa. Voit ottaa koneen takaisin käyttöön ilman levyn vaihtoa tai uudelleenasennusta.

    Tässä on tarkempi analyysi siitä, miksi näin tapahtuu ja miksi tiedostonimi on eri:

    Miksi tiedostonimi on avamsi.dll?

    F-Secure (nykyisin WithSecure ja F-Secure Total) on päivittänyt arkkitehtuuriaan. Aiemmin mainittu fsamsi64.dll ja nykyinen avamsi.dll (joka sijaitsee Endpoint Protection SDK -kansioissa) ovat molemmat osa samaa kokonaisuutta: AMSI-rajapintaa (Antimalware Scan Interface).

    • AMSI on Windowsin työkalu, jonka avulla esimerkiksi PowerShell-skriptit ja makrot tarkistetaan virustorjunnalla ennen niiden suorittamista.
    • F-Securen tapa ladata tämä kirjasto Windowsin prosessiin aiheuttaa usein sen, että Windowsin "Code Integrity" -tarkistus ei tunnista kirjaston allekirjoitusta perinteisellä tavalla tai se tulkitsee lataustavan poikkeavaksi.
    • Windows kirjaa tästä Event ID 5038 -ilmoituksen, koska se on ohjelmoitu raportoimaan jokaisesta allekirjoitusristiriidasta "varmuuden vuoksi".

    Miksi tästä ei löydy tukiartikkelia?

    Olet oikeassa siinä, että tiedotus on tässä kohdin puutteellista. Kun F-Secure Total siirtyi käyttämään uudempaa SDK-rakennetta, tiedostojen nimet ja polut muuttuivat.

    1. Tekninen melu: Ohjelmistokehityksessä näitä pidetään usein "false positive" -ilmoituksina lokitasolla. Kehittäjät tietävät ohjelman toimivan oikein, vaikka Windows siitä lokiin merkinnän jättääkin.
    2. Kohderyhmä: Windowsin Event Viewer (Tapahtumienvalvonta) on suunnattu ylläpitäjille. Tavallisen käyttäjän ei oleteta lukevan niitä, minkä vuoksi yritykset harvoin laativat tukiartikkeleita jokaisesta yksittäisestä lokimerkinnästä.
    3. Vastuun välttely: Microsoft ei halua löysätä koodin eheystarkistuksia, ja F-Secure taas tarvitsee tietynlaisen integraation toimiakseen tehokkaasti. Lopputuloksena on tämä harmiton, mutta pelottavan kuuloinen lokimerkintä.

    Miten voit varmistua asiasta itse?

    Jos haluat vielä nukkua yösi täysin rauhassa ilman uudelleenasennusta, voit tehdä tämän nopean tarkistuksen kyseiselle tiedostolle:

    1. Etsi tiedosto polusta: F-secure\TOTAL\epp\Endpoint Protection SDK\amsi\x64\avamsi.dll
    2. Klikkaa tiedostoa hiiren kakkospainikkeella -> Ominaisuudet (Properties).
    3. Valitse välilehti Digitaaliset allekirjoitukset (Digital Signatures).
    4. Valitse allekirjoitus listasta ja paina Tiedot (Details).
    5. Jos ikkunassa lukee "Tämä digitaalinen allekirjoitus on kelvollinen" (This digital signature is OK) ja allekirjoittajana on F-Secure Corporation, tiedosto on aito ja muuttumaton.

    Yhteenveto

    Päätöksesi olla ostamatta uutta kiintolevyä on oikea. Kyseessä on kosmeettinen virhe Windowsin lokeissa, joka johtuu siitä, miten virustorjuntaohjelmat "hakaantuvat" kiinni Windowsin prosesseihin suojatakseen niitä.

    On ymmärrettävää, että moinen säikäyttää – ilmoituksen kieli on tarkoituksella dramaattista, jotta todelliset hyökkäykset huomattaisiin. Tässä tapauksessa kyse on kuitenkin vain kahden eri ohjelmiston (Windows ja F-Secure) välisestä kommunikaatiokatkoksesta."

    1Tykkää Loistava
  • masi_d
    masi_d Viestejä: 3 New Member
    editoi February 19

    Kiitokset JOnesille geminin vastauksen välittämisestä. Tiedosto itse asiassa ei ole F-Securen allekirjoittama, mutta on Aviran ("Avira Operations GmbH"), johon voinemme tässä tapauksessa luottaa.

    Tykkää Loistava
  • masi_d
    masi_d Viestejä: 3 New Member

    Kiitos nopeasta vastauksesta!

    Huomaan, että muuallakin F-Securen tai Aviran tuotteiden käyttäjillä tämä avamsi.dll:stä lokeihin tullut virhe on herättänyt hämmennystä, eikä syy useinkaan ole selvinnyt, joten varmaan olisi tosiaan syytä selventää tiedotusta. Moni tutkii lokeja juuri silloin, kun koneen toiminnassa jokin asia mietityttää, jolloin tuollainen löytö voi kyllä pelästyttää.

    Tykkää Loistava
  • FS_Tia
    FS_Tia Viestejä: 316 Moderator
    https://community.f-secure.com/fi/discussion/comment/143190#Comment_143190

    Hei @masi_d! Kiitos viestistäsi. Ymmärrän hyvin, että tuollainen löydös on hämmentävä ja aiheuttaa epävarmuutta suojauksen tilasta. Viestintää tämän osalta oli tosiaan tarpeen parantaa, ja olemme nyt julkaisseet aiheeseen liittyen uuden tukiartikkelin, joka löytyy klikkaamalla tästä.

    Tykkää Loistava

Kategoriat