Перейти к содержанию
Начальник Чукотки

212.5.89.12 - LabKasper

Recommended Posts

Начальник Чукотки

Как-то сам собой возник вопрос.

Решил у КИС всё "наизнанку вывернуть" и посмотреть как там что устроено,

обратил внимание,что как только включить интернет - то КИС начинает соединяться с IP-адресом 212.5.89.12

Конечно проверил что это за адрес, оказалось как и предполагал - это видно КИС соединяется со своими "родителями":

host-12.LabKasperDTC.212.5.89.0.0xffffff00.macomnet.net

Спрашивается: с какой целью?

Тем более что после блокировки этого IP всё продолжает работать нормально,в том числе и сам КИС.

Что он инфу туда шлёт какую? Или сообщает что он видите-ли просто жив-здоров?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
КИС начинает соединяться с IP-адресом 212.5.89.12

host-12.LabKasperDTC.212.5.89.0.0xffffff00.macomnet.net

Спрашивается: с какой целью?

Строка "host-12" особенно внушает доверие. :)

Ставьте сниффер и смотрите что он там шлёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Строка "host-12" особенно внушает доверие. :)

Можно чуточку подробнее? ;)

Ставьте сниффер и смотрите что он там шлёт.

А как это сделать?

Я ведь хотя и достаточно давно знаком с продуктами ЛК, но в плане общей сетевой безопасности я новичок.

P.S.:

Проверил этот адрес сейчас немного подробнее,получилось так:

host-12.labkasperdtc.212.5.89.0.0xffffff00.macomnet.net

IP

212.5.89.12

Preferable MX

relay.macomnet.ru

AVP-NET-COLO-via-MAcom

Диапазон адресов

212.5.89.0 - 212.5.89.255

Владелец

Kaspersky Lab

Расположение: System Administrator /Kaspersky Lab Ltd, 10,ул.Героев Панфиловцев,123363,Москва

Контактная информация:

Сергей Фомин, +7 495 797 87 00, +7 495 797 87 07

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Можно чуточку подробнее? ;)

Просто она звучит как комп Васи Пупкина. :D Не баись. ;)

А как это сделать?

Я ведь хотя и достаточно давно знаком с продуктами ЛК, но в плане общей сетевой безопасности я новичок.

Вы можете читать IT документацию на английском языке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Просто она звучит как комп Васи Пупкина

Гы-гы ;)

Я в ЛК только Пипкина знаю ))

Не баись. ;)

Да кажется не боюсь...

А может и боюсь ;)

Вы можете читать IT документацию на английском языке?

К сожалению я только немного разговаривать по английски могу,

а читать IT-документацию,и тем более правильно там всё понять я не смогу... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Начальник Чукотки

KSN активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Начальник Чукотки

KSN активирован?

Burbulator

Нет конечно.

Если бы был активирован,то я бы и не спрашивал ничего.

Я всегда сразу в процессе установки отказываюсь. И никогда больше там галочки не ставлю.Не люблю я такие вещи.

Не знаю,что думать...

Может быть KSN (или что-то аналогичное) всё-равно работает,

а все эти галочки-активации или отказы от активации - это пыль в глаза...

то есть активируй или не активируй,а "оно" работает несмотря ни на что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
К сожалению я только немного разговаривать по английски могу,

а читать IT-документацию,и тем более правильно там всё понять я не смогу... :(

Разговаривать особо не надо. :)

А вот читать уметь - очень нужно. Все доки идут на английском. Поэтому вооружайтесь сниффером, гуглом и начинайте читать про организацию сетей. Лучше поставить себе цель, например, - взлом виртуального хоста. Если вы будете знать как атаковать, то и поймёте как защищаться. Успехов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

А каким образом засекли? С помощью касперовского "Мониторинга сети" или сторонними средствами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
А каким образом засекли? С помощью касперовского "Мониторинга сети" или сторонними средствами?

Motley

С помощью "мониторинга сети" это сложно увидеть.

Попробуйте при помощи анализа сетевых пакетов.

вооружайтесь сниффером

Какой именно порекомендуете?

Чтобы мне как новичку было полегче там разобраться,а то ведь они все на инглише ;)

И как сниффер будет работать на компе где установлен КИС?

Конфликта не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Очень интересная тема.

С нетерпением жду результатов, т.к. и на офф.форуме поднимались подобного рода темы, только там почему-то КИС соединялся с IP-ми форума ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
С нетерпением жду результатов

Так мне б для сначала сниффером обзавестись ;)

Ведь не знаю какой получше будет.

Да и если в этой ситуации можно бесплатный использовать,то какой-либо бесплатный.

Дело в том что я ими никогда не пользовался. Новичок ведь я в этих делах :(

и на офф.форуме поднимались подобного рода темы

Там периодически люди пытаются поднять ту или иную острую тему, но за редким исключением такие темы как правило существуют там не более часа,а затем исчезают в небытие Но я не хочу здесь про всё это говорить.

только там почему-то КИС соединялся с IP-ми форума ЛК.

У адреса форума ЛК хост нэйм не "host-12"

Но я в любом случае понаблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Начальник Чукотки

вам морочат голову, а вы ведетесь

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Какой именно порекомендуете?

Вы уже достаточно взрослый, чтобы начать ходить. ;)

А порекомендовал бы я Colasoft Capsa, но он платный и сложный. Правда у них есть хорошие бесплатные утилиты: Packet Builder & Player.

Самый простой - TamoSoft CommView, но платный.

Из бесплатных простых наверное есть только Wireshark.

И как сниффер будет работать на компе где установлен КИС?

Забудьте пока про КИС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

В кис тоже есть что-то похожее на снифер. Анализатором пакетов называется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker

KSN тоже шлет что-то, даже если убрать "галочку" в пункте: "Я согласен участвовать в KSN"

Куда именно шлет, точные адреса сейчас сказать не могу, но записал следующие диапазоны IP для блокировки IP адресов в Outpost Firewall:

91.103.64.0-91.103.67.255

195.222.17.32-195.222.17.63

85.12.57.35-85.12.57.35

195.200.84.0-195.200.85.255

85.12.0.0-85.12.63.255

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

КИС связывается с серверами для распределения программ по группам доверенности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker
Куда именно шлет, точные адреса сейчас сказать не могу

Вот свежее из журнала брандмауэра:

22:47:17    AVP.EXE    OUT    UDP    85.12.57.89    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    85.12.57.87    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.200.84.3    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.200.84.5    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.222.17.35    7024    Blocked by IP Blocklist    0    022:47:17    AVP.EXE    OUT    UDP    195.222.17.38    7024    Blocked by IP Blocklist    0    0
КИС связывается с серверами для распределения программ по группам доверенности.

Даже при выключеной ОБРАТНОЙ СВЯЗИ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Даже при выключеной ОБРАТНОЙ СВЯЗИ?

Обратная связь и KSN это разные вещи. KSN пересылает статистическую информацию, а сам антивирус, по словам Umnik'a, даже без этой галочки связывается с сервером для распределения программ по группам в контроле программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
КИС связывается с серверами для распределения программ по группам доверенности.

Умник, я то конечно новичок, ничего не знаю, но Вы ведь прекрасно знаете что правила для распределения по группам доверенности КИС берет из ОБНОВЛЕНИЙ. А в КИС 2010 там даже пунктик такой есть.

Зачем,мягко говоря, вводите людей в заблуждение?

А с этими адресами КИС пытается соединиться при отключенном автообновлении. У меня на этом компе вообще ничего на автомате не стоит.

Просто включаешь интернет и КИС сразу лезет по этим адресам.

Обратная связь и KSN это разные вещи

Я конечно новичок...

Ну,вообще-то, KSN находится как раз на вкладке обратная связь. Это в настройках.

А как там на самом деле - знают только в ЛК.

Snejoker, и с указанными Вами адресами тоже есть попытки соединения.

Вы посмотрите, тот адрес который я указал в первом сообщении у Вас присутствует?

И еще: срочно нужен скриншот или ссылка, на вкладку КИС 2009,где указаны НАСТРОЙКИ ПАКЕТНЫХ ПРАВИЛ ПО УМОЛЧАНИЮ

очень срочно нужно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Умник, я то конечно новичок, ничего не знаю, но Вы ведь прекрасно знаете что правила для распределения по группам доверенности КИС берет из ОБНОВЛЕНИЙ.

Вы поделили мое сознание на нуль. Другими словами Вы ошибаетесь - распределение по группам никак не зависит от обновлений. Так что во время эпидемий дятел может в секунды выбрасывать на эти серверы md5 свежайших зверей, KIS их получит, занесет в Недоверенные, а потом приплывет сигнатура. Можете также выключить обновление еще на этапе инсталляции KIS и запустить тот же QIP распоследней версии и он попадет в Доверенные, хотя в базах записи о нем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки

Umnik

Неубедительно

Вы поделили мое сознание на нуль. Другими словами Вы ошибаетесь - распределение по группам никак не зависит от обновлений

Смелое заявление. Но практика показывает обратное.

Umnik, НО даже если с Вами кто-то будет согласен,повторяю: ЕСЛИ, то где обо всём этом написано?

Где сказано что ваши продукты сами по себе скрытно связываются с ЛК?

Например в лицензионном соглашении о KSN сказано вполне понятно:

"Предоставление вышеуказанной информации является добровольным.

Функцию сбора информации можно в любой момент включить или выключить в разделе «Обратная связь» окна настройки

соответствующего продукта «Лаборатории Касперского»"©

Но это так,к слову. KSN то у меня никогда включен не был.

P.S.

Господа с нетерпением жду скриншот или ссылку,которые я спросил.

Для полной чистоты эксперимента срочно необходимо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Смелое заявление. Но практика показывает обратное.

Т.е. квип у Вас в доверенные не попал?

Где сказано что ваши продукты сами по себе скрытно связываются с ЛК?

Не интересовался и не собираюсь. Ровно как не собираюсь искать это в Windows и ПО, которое использую. Уж извините.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Что это за "Пакетные правила"?

Есть возможность у меня установить KIS 8.0.0.506 на виртуалку и посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Т.е. квип у Вас в доверенные не попал?

Umnik

Я ведь сказал русским языком: этот комп для эксперимента!

Вы ведь умеете говорить по-русски? ;) Ну Вы поняли о чём я ;)

А всякими квипами и т.п. я давно уже не пользуюсь.

Не интересовался и не собираюсь.

В том то и дело...

Что это за "Пакетные правила"?

Есть возможность у меня установить KIS 8.0.0.506 на виртуалку и посмотреть.

Z.E.A.

Спасибо.

Там в главном окне, вверху справа "настройка", затем "контроль приложений" - "сетевой экран" - "настройка" - "сетевые пакеты"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×