Перейти к содержанию
Pavel Yablonskiy

Officescan 10.5 в режиме SmartScan и PAK_Generic.001

Recommended Posts

Pavel Yablonskiy

Собственно вот такая ситуация:

Officescan 10.5 работает в режиме SmartScan

есть файл, который на вирустотале определяется как PAK_Generic.001 (пример)

кстати, TrendMicro-HouseCall, который тоже работает в режиме SmartScan, этот файл не определяет

TrendMicro - PAK_Generic.001

TrendMicro-HouseCall - not detected

Этот так задумано?

Почему убрали детекцию упаковщиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

Generic - это разве не эвристика?

Насколько помню, в OSCE эвристика настраивается отдельно.

А в HouseCall эвристика судя по всему не настроена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

PAK_Generic - эвристика для упаковщиков.

в OCSE отдельно вроде не настраивается (могу ошибаться, нужна консультация лучших собаководов)

в OCSE 10 нужно было ручками настраивать реакцию на обнаружение зловреда эвристическими методами, по умолчанию только уведомление. что бы отправить в карантин нужно было править конфигурационный файл.

в 10.5 вынесли добавили эту настройку через web-интерфейс.

Так что вопрос остаётся открытым, как сделать доступным возможность определять PAK_Generic, когда Officescan работает в режиме Smart Scan.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

У меня пока 10.5 - только в тестах (до выхода СП1), поэтому сильно не подскажу.

Можно попробовать включить дебаг и поковырять, что происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Перевёл одного из клиента в режим "Conventional scan" - результат тот же.

Те. проблема не в типе сканирования,

а или в версии Scan Engine (у меня 9.200.1008, на вирустотале 9.120.1004) или в настройках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Выдавил ответ из технической поддержки:

>> Pack_Generic is Itellitrap detection.

>> Intellitrap detection is happening only if you download the file, or get it by email.

>> If you already having this file on your disk, then it would not trigger any scan Intellitrap detection.

Итог: упаковщик детектируется только если файл получен путём скачивания из инета или по почте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

какой-то флаг должен быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×