Начальник Чукотки

212.5.89.12 - LabKasper

В этой теме 78 сообщений

Как-то сам собой возник вопрос.

Решил у КИС всё "наизнанку вывернуть" и посмотреть как там что устроено,

обратил внимание,что как только включить интернет - то КИС начинает соединяться с IP-адресом 212.5.89.12

Конечно проверил что это за адрес, оказалось как и предполагал - это видно КИС соединяется со своими "родителями":

host-12.LabKasperDTC.212.5.89.0.0xffffff00.macomnet.net

Спрашивается: с какой целью?

Тем более что после блокировки этого IP всё продолжает работать нормально,в том числе и сам КИС.

Что он инфу туда шлёт какую? Или сообщает что он видите-ли просто жив-здоров?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
КИС начинает соединяться с IP-адресом 212.5.89.12

host-12.LabKasperDTC.212.5.89.0.0xffffff00.macomnet.net

Спрашивается: с какой целью?

Строка "host-12" особенно внушает доверие. :)

Ставьте сниффер и смотрите что он там шлёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Строка "host-12" особенно внушает доверие. :)

Можно чуточку подробнее? ;)

Ставьте сниффер и смотрите что он там шлёт.

А как это сделать?

Я ведь хотя и достаточно давно знаком с продуктами ЛК, но в плане общей сетевой безопасности я новичок.

P.S.:

Проверил этот адрес сейчас немного подробнее,получилось так:

host-12.labkasperdtc.212.5.89.0.0xffffff00.macomnet.net

IP

212.5.89.12

Preferable MX

relay.macomnet.ru

AVP-NET-COLO-via-MAcom

Диапазон адресов

212.5.89.0 - 212.5.89.255

Владелец

Kaspersky Lab

Расположение: System Administrator /Kaspersky Lab Ltd, 10,ул.Героев Панфиловцев,123363,Москва

Контактная информация:

Сергей Фомин, +7 495 797 87 00, +7 495 797 87 07

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно чуточку подробнее? ;)

Просто она звучит как комп Васи Пупкина. :D Не баись. ;)

А как это сделать?

Я ведь хотя и достаточно давно знаком с продуктами ЛК, но в плане общей сетевой безопасности я новичок.

Вы можете читать IT документацию на английском языке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто она звучит как комп Васи Пупкина

Гы-гы ;)

Я в ЛК только Пипкина знаю ))

Не баись. ;)

Да кажется не боюсь...

А может и боюсь ;)

Вы можете читать IT документацию на английском языке?

К сожалению я только немного разговаривать по английски могу,

а читать IT-документацию,и тем более правильно там всё понять я не смогу... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Начальник Чукотки

KSN активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки

KSN активирован?

Burbulator

Нет конечно.

Если бы был активирован,то я бы и не спрашивал ничего.

Я всегда сразу в процессе установки отказываюсь. И никогда больше там галочки не ставлю.Не люблю я такие вещи.

Не знаю,что думать...

Может быть KSN (или что-то аналогичное) всё-равно работает,

а все эти галочки-активации или отказы от активации - это пыль в глаза...

то есть активируй или не активируй,а "оно" работает несмотря ни на что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К сожалению я только немного разговаривать по английски могу,

а читать IT-документацию,и тем более правильно там всё понять я не смогу... :(

Разговаривать особо не надо. :)

А вот читать уметь - очень нужно. Все доки идут на английском. Поэтому вооружайтесь сниффером, гуглом и начинайте читать про организацию сетей. Лучше поставить себе цель, например, - взлом виртуального хоста. Если вы будете знать как атаковать, то и поймёте как защищаться. Успехов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А каким образом засекли? С помощью касперовского "Мониторинга сети" или сторонними средствами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А каким образом засекли? С помощью касперовского "Мониторинга сети" или сторонними средствами?

Motley

С помощью "мониторинга сети" это сложно увидеть.

Попробуйте при помощи анализа сетевых пакетов.

вооружайтесь сниффером

Какой именно порекомендуете?

Чтобы мне как новичку было полегче там разобраться,а то ведь они все на инглише ;)

И как сниффер будет работать на компе где установлен КИС?

Конфликта не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень интересная тема.

С нетерпением жду результатов, т.к. и на офф.форуме поднимались подобного рода темы, только там почему-то КИС соединялся с IP-ми форума ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С нетерпением жду результатов

Так мне б для сначала сниффером обзавестись ;)

Ведь не знаю какой получше будет.

Да и если в этой ситуации можно бесплатный использовать,то какой-либо бесплатный.

Дело в том что я ими никогда не пользовался. Новичок ведь я в этих делах :(

и на офф.форуме поднимались подобного рода темы

Там периодически люди пытаются поднять ту или иную острую тему, но за редким исключением такие темы как правило существуют там не более часа,а затем исчезают в небытие Но я не хочу здесь про всё это говорить.

только там почему-то КИС соединялся с IP-ми форума ЛК.

У адреса форума ЛК хост нэйм не "host-12"

Но я в любом случае понаблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Начальник Чукотки

вам морочат голову, а вы ведетесь

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой именно порекомендуете?

Вы уже достаточно взрослый, чтобы начать ходить. ;)

А порекомендовал бы я Colasoft Capsa, но он платный и сложный. Правда у них есть хорошие бесплатные утилиты: Packet Builder & Player.

Самый простой - TamoSoft CommView, но платный.

Из бесплатных простых наверное есть только Wireshark.

И как сниффер будет работать на компе где установлен КИС?

Забудьте пока про КИС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В кис тоже есть что-то похожее на снифер. Анализатором пакетов называется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KSN тоже шлет что-то, даже если убрать "галочку" в пункте: "Я согласен участвовать в KSN"

Куда именно шлет, точные адреса сейчас сказать не могу, но записал следующие диапазоны IP для блокировки IP адресов в Outpost Firewall:

91.103.64.0-91.103.67.255

195.222.17.32-195.222.17.63

85.12.57.35-85.12.57.35

195.200.84.0-195.200.85.255

85.12.0.0-85.12.63.255

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

КИС связывается с серверами для распределения программ по группам доверенности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Куда именно шлет, точные адреса сейчас сказать не могу

Вот свежее из журнала брандмауэра:

22:47:17    AVP.EXE    OUT    UDP    85.12.57.89    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    85.12.57.87    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.200.84.3    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.200.84.5    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.222.17.35    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.222.17.38    7024    Blocked by IP Blocklist    0    0
КИС связывается с серверами для распределения программ по группам доверенности.

Даже при выключеной ОБРАТНОЙ СВЯЗИ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даже при выключеной ОБРАТНОЙ СВЯЗИ?

Обратная связь и KSN это разные вещи. KSN пересылает статистическую информацию, а сам антивирус, по словам Umnik'a, даже без этой галочки связывается с сервером для распределения программ по группам в контроле программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
КИС связывается с серверами для распределения программ по группам доверенности.

Умник, я то конечно новичок, ничего не знаю, но Вы ведь прекрасно знаете что правила для распределения по группам доверенности КИС берет из ОБНОВЛЕНИЙ. А в КИС 2010 там даже пунктик такой есть.

Зачем,мягко говоря, вводите людей в заблуждение?

А с этими адресами КИС пытается соединиться при отключенном автообновлении. У меня на этом компе вообще ничего на автомате не стоит.

Просто включаешь интернет и КИС сразу лезет по этим адресам.

Обратная связь и KSN это разные вещи

Я конечно новичок...

Ну,вообще-то, KSN находится как раз на вкладке обратная связь. Это в настройках.

А как там на самом деле - знают только в ЛК.

Snejoker, и с указанными Вами адресами тоже есть попытки соединения.

Вы посмотрите, тот адрес который я указал в первом сообщении у Вас присутствует?

И еще: срочно нужен скриншот или ссылка, на вкладку КИС 2009,где указаны НАСТРОЙКИ ПАКЕТНЫХ ПРАВИЛ ПО УМОЛЧАНИЮ

очень срочно нужно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Умник, я то конечно новичок, ничего не знаю, но Вы ведь прекрасно знаете что правила для распределения по группам доверенности КИС берет из ОБНОВЛЕНИЙ.

Вы поделили мое сознание на нуль. Другими словами Вы ошибаетесь - распределение по группам никак не зависит от обновлений. Так что во время эпидемий дятел может в секунды выбрасывать на эти серверы md5 свежайших зверей, KIS их получит, занесет в Недоверенные, а потом приплывет сигнатура. Можете также выключить обновление еще на этапе инсталляции KIS и запустить тот же QIP распоследней версии и он попадет в Доверенные, хотя в базах записи о нем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Umnik

Неубедительно

Вы поделили мое сознание на нуль. Другими словами Вы ошибаетесь - распределение по группам никак не зависит от обновлений

Смелое заявление. Но практика показывает обратное.

Umnik, НО даже если с Вами кто-то будет согласен,повторяю: ЕСЛИ, то где обо всём этом написано?

Где сказано что ваши продукты сами по себе скрытно связываются с ЛК?

Например в лицензионном соглашении о KSN сказано вполне понятно:

"Предоставление вышеуказанной информации является добровольным.

Функцию сбора информации можно в любой момент включить или выключить в разделе «Обратная связь» окна настройки

соответствующего продукта «Лаборатории Касперского»"©

Но это так,к слову. KSN то у меня никогда включен не был.

P.S.

Господа с нетерпением жду скриншот или ссылку,которые я спросил.

Для полной чистоты эксперимента срочно необходимо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Смелое заявление. Но практика показывает обратное.

Т.е. квип у Вас в доверенные не попал?

Где сказано что ваши продукты сами по себе скрытно связываются с ЛК?

Не интересовался и не собираюсь. Ровно как не собираюсь искать это в Windows и ПО, которое использую. Уж извините.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что это за "Пакетные правила"?

Есть возможность у меня установить KIS 8.0.0.506 на виртуалку и посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е. квип у Вас в доверенные не попал?

Umnik

Я ведь сказал русским языком: этот комп для эксперимента!

Вы ведь умеете говорить по-русски? ;) Ну Вы поняли о чём я ;)

А всякими квипами и т.п. я давно уже не пользуюсь.

Не интересовался и не собираюсь.

В том то и дело...

Что это за "Пакетные правила"?

Есть возможность у меня установить KIS 8.0.0.506 на виртуалку и посмотреть.

Z.E.A.

Спасибо.

Там в главном окне, вверху справа "настройка", затем "контроль приложений" - "сетевой экран" - "настройка" - "сетевые пакеты"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее