Перейти к содержанию

Recommended Posts

_Stout

Друзья,

заметили ли вы в последнее время повышенное количество вердиктов UDS:DangerousObject.Multi?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Нет. А что это? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Аналогично ;)

Как не было так и нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Нет. А что это? :)

Это детекты KSN (а сейчас, в основном, Астрея)

Например:

http://www.kadets.info/showpost.php?p=8580...;postcount=2326

Другой случай:

1. Без KSN http://www.kadets.info/showpost.php?p=8577...;postcount=2311

2. C KSN (Astraea) http://www.kadets.info/showpost.php?p=8578...;postcount=2313

результат на лицо ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

_Stout

Заметил - как только пришло мне на почту письмо по этому поводу. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

Хорошо, что никто ничего не заметил: значит, не фолсит. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
_Stout

Заметил - как только пришло мне на почту письмо по этому поводу. :)

что в письме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
что в письме?

Не важно.

Хорошо, что никто ничего не заметил: значит, не фолсит. :-)

Угу. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Заметил - как только пришло мне на почту письмо по этому поводу. :)

Я сегодня писем по этому поводу не писал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Я сегодня писем по этому повод не писал

Письмо не от сегодня было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deff
UDS:DangerousObject.Multi

_Stout

если это возможно, не могли бы Вы рассказать о сути этого детекта?

Т.е. это "облачный" детект уже известных угроз (хэш), или что-то связанное с репутационными технологиями, или совокупность чего-то еще?

Такой детект возможен при работе и файлового монитора и сканера по-требованию, или каких-то других компонентов?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

если это возможно, не могли бы Вы рассказать о сути этого детекта?

Т.е. это "облачный" детект уже известных угроз (хэш), или что-то связанное с репутационными технологиями, или совокупность чего-то еще?

Такой детект возможен при работе и файлового монитора и сканера по-требованию, или каких-то других компонентов?

Спасибо.

Сейчас это второе. Этот вердикт выдается на новые (я бы сказал новейшие) угрозы. В будущем будет и первое. Говоря о технологии обнаружения в двух словах, это корреляционно статистический облачный сервис, позволяющий обнаруживать новейшие угрозы без анализа "тушки". Детали технологии будут описан на Securelist в сентябре (сейчас готовим материалы). Скажу одно -- под системой несколько патентов и еще будет несколько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deff

_Stout

спасибо за информацию.

Очень интересно будет сравнить реализацию технологии ЛК с облачными сервисами других вендоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

спасибо за информацию.

Очень интересно будет сравнить реализацию технологии ЛК с облачными сервисами других вендоров.

Что сравнивать и с кем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Что сравнивать и с кем?

с NIS например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
с NIS например.

KIS и NIS? Там все просто -- подсчитал MD5 и передал в облако, принял ответ. Отличия на уровне протокола. Вся наука в облаке. Общие принципы открыты. А детали хранятся за семью печатями. Например, как работает Кворум http://www.virusbtn.com/pdf/conference_sli...adri-VB2009.pdf или Артемис http://www.mcafeepartner.com/SAUpdate/0903...ief_artemis.pdf А вот что там внутри....

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Друзья,

заметили ли вы в последнее время повышенное количество вердиктов UDS:DangerousObject.Multi?

http://www.anti-malware.ru/forum/index.php...st&p=110895

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Если уж начали выкладывать ссылки с kadets, вот http://www.kadets.info/showthread.php?t=67654&page=125 с поста 2486 и ниже, довольно серьёзный червь, Касперский берёт только KSN, результат с ВТ http://www.virustotal.com/file-scan/report...ed6f-1282022879 демон имеет статус скрытый и системный!

Да, при отключённом интернете, Касперский молчит)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rampant

Дык в базы все равно придет. :) Зато в реал тайме при обычной работе за ПК и включенном инете у наших клиентов еще больше уровень защиты от новейших угроз. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Да нет, функция отличная и нужная, тут без разговоров, главное что бы она стабильно работала.

Хотя данный зловред, я выложил ещё в воскресенье, и результаты ВТ) KSN не отправляет данные на вирлаб?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rampant

Отправляет. :) Скиньте мне в архиве с паролем virus эти файлы - проверю. А вообще лучше детект нашего продукта смотреть не по VT, а так: http://www.kaspersky.ru/scanforvirus

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant
Проверенный файл: ltzqai.exe

Известных вирусов: 4134644 Дата последнего обновления: 16-08-2010

Размер файла (Kb): 80 Тел вирусов: 0

Файлов: 1 Предупреждений: 0

Архивов: 0 Подозрительных: 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rampant

Ну дык файлы то где?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Дык отправил уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rampant

Спасибо, ща проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×