Перейти к содержанию
Pavel Yablonskiy

Officescan 10.5 в режиме SmartScan и PAK_Generic.001

Recommended Posts

Pavel Yablonskiy

Собственно вот такая ситуация:

Officescan 10.5 работает в режиме SmartScan

есть файл, который на вирустотале определяется как PAK_Generic.001 (пример)

кстати, TrendMicro-HouseCall, который тоже работает в режиме SmartScan, этот файл не определяет

TrendMicro - PAK_Generic.001

TrendMicro-HouseCall - not detected

Этот так задумано?

Почему убрали детекцию упаковщиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

Generic - это разве не эвристика?

Насколько помню, в OSCE эвристика настраивается отдельно.

А в HouseCall эвристика судя по всему не настроена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

PAK_Generic - эвристика для упаковщиков.

в OCSE отдельно вроде не настраивается (могу ошибаться, нужна консультация лучших собаководов)

в OCSE 10 нужно было ручками настраивать реакцию на обнаружение зловреда эвристическими методами, по умолчанию только уведомление. что бы отправить в карантин нужно было править конфигурационный файл.

в 10.5 вынесли добавили эту настройку через web-интерфейс.

Так что вопрос остаётся открытым, как сделать доступным возможность определять PAK_Generic, когда Officescan работает в режиме Smart Scan.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

У меня пока 10.5 - только в тестах (до выхода СП1), поэтому сильно не подскажу.

Можно попробовать включить дебаг и поковырять, что происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Перевёл одного из клиента в режим "Conventional scan" - результат тот же.

Те. проблема не в типе сканирования,

а или в версии Scan Engine (у меня 9.200.1008, на вирустотале 9.120.1004) или в настройках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Выдавил ответ из технической поддержки:

>> Pack_Generic is Itellitrap detection.

>> Intellitrap detection is happening only if you download the file, or get it by email.

>> If you already having this file on your disk, then it would not trigger any scan Intellitrap detection.

Итог: упаковщик детектируется только если файл получен путём скачивания из инета или по почте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa

какой-то флаг должен быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×