Anmawe

Kaspersky Application Advisor

В этой теме 9 сообщений

Предположу, что дело в недостаточной статистике. Вероятно потому, что у этого файла всего 1 пользователь за месяц, а всего их 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ? Если бы там была малваря, то за год её бы точно обнаружили ?

Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1) Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

2) Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

3)Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ?

4) Если бы там была малваря, то за год её бы точно обнаружили ?

5) Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

6) Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

0) Любой рейтинг может ошибаться, KSN склонна часто доверяться ПНП первое время. Ответы даю примерные, всё зависит от ситуации, хотите хорошей безопасности не используя интерактивный режим Контроля программ - включите "Режим Безопасных программ", если программа будет запрещена к запуску (признана любой, кроме Доверенной), то проверите на VT, хотя VT гарантии тоже не даёт.

1)Говорит скорее о том, что файл будет или был проанализирован и уже не является однозначно неизвестным. + к безопасности файла в таком случае.

2) Не точно, если 2 недели и если месяц назад. Точно и то не всегд факт - ДОВЕРЕННАЯ группа. Если при запуске в Слабых ограничения, то нет в белом списке (доверенных), значит - не всё так просто, включайте Интерактивный режим Контроля программ, чтобы детально посмотреть что файл делает. На автомате Слабые ограничения=~Доверенной группе.

3) Не точно. Он ведь не попал в белый список. По ситуации.

4) Логично, смотрите сколько юзеров пользовались. Процесс часто автоматизирован. Если группа Слабые ограничения, 1 год, мало юзеров, то скорее всего облаку не хватило данных для авто-детекта.

5) Да, нельзя, популярность файла гарантирует, что экспертная система по KSN получила достаточно оснований для решения по файлу, передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения....короче у каждых юзеров индивидуальная история попадания (и работы) одного и того же файла. Это имеет большое значение.

6) Если около 1000, то безопасен. По др. вопросам - выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот защитит ли KSN от логической бомбы ?

 

Допустим, компьютеры заражаются логической бомбой, но эта вредоносная программа пока ничего не украла и не зашифровала - она начнет деструктивную активность через месяц например. За этот месяц логическая бомба установится на многие компьютеры. Если эта бомба ещё ничего не испортила, то наверно детекта не будет ? (передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения

 

На сайте касперского написано, что уже через 40 секунд сработает детект и KSN предупредит всех остальных  (когда логическая бомба "взорвется" ) . Если бомба сработает у всех ровно в 21:00:00 на всех компах, то KSN не защитит ? Если бомба обойдет все компоненты антивируса .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зависит от механизма распространения, от самого кода. Если это будет некое ПО (популярный медиа-плеер), который в один прекрасный день все на компе зашифрует, то на момент его срабатывания это будет неожиданностью для антивируса. Если он по поведению обойдет сенсоры каспера, то все зашифрует. Также и с любым другим антивирусом. Каспер тут чисто для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Будет зависеть куда Антивирус Касперского отнесет эту программу, будет ли она в белом списке или нет. Скорее все нет. Это значит, что у нее будут ограничения на действия в системе. А дальше все будет зависеть от конкретных действий программы, что она будет делать и будет ли это блокировать поведенческий анализатор антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нормальная логическая бомба это когда делаешь несколько лет софт, попадаешь во все вайтлисты, имеешь базу юзеров несколько лямов, а потом - бац! и все зашифровал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Основной вопрос про облака. Новый файл, на который возникла реакция проактивной защиты, поступает как-то в вирлаб? Как минимум, как-то у меня в проактивке возникает база известных по поведению троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!
    • Viktorr
      Потому что для безопасности компьютеров, мало одних лишь антивирусов, нужно применять и другие способы защиты. В сети вообще-то немало данных по этой теме, к примеру вот здесь можете ознакомиться с подробной информацией, как проводить тестирование на проникновение, для обеспечения информационной безопасности  https://codeby.net/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/ . Там полностью на русском языке изложено, как проводить анализ уязвимостей в веб-приложениях, делать стресс-тесты сети и т.д. Так что внимательно изучите данную информацию, и делайте выводы, что нужно предпринять, чтобы надежно защитить свой компьютер.
    • demkd
      А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.