Перейти к содержанию

Recommended Posts

Сергей Ильин

Предположу, что дело в недостаточной статистике. Вероятно потому, что у этого файла всего 1 пользователь за месяц, а всего их 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ? Если бы там была малваря, то за год её бы точно обнаружили ?

Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
1) Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

2) Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

3)Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ?

4) Если бы там была малваря, то за год её бы точно обнаружили ?

5) Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

6) Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

0) Любой рейтинг может ошибаться, KSN склонна часто доверяться ПНП первое время. Ответы даю примерные, всё зависит от ситуации, хотите хорошей безопасности не используя интерактивный режим Контроля программ - включите "Режим Безопасных программ", если программа будет запрещена к запуску (признана любой, кроме Доверенной), то проверите на VT, хотя VT гарантии тоже не даёт.

1)Говорит скорее о том, что файл будет или был проанализирован и уже не является однозначно неизвестным. + к безопасности файла в таком случае.

2) Не точно, если 2 недели и если месяц назад. Точно и то не всегд факт - ДОВЕРЕННАЯ группа. Если при запуске в Слабых ограничения, то нет в белом списке (доверенных), значит - не всё так просто, включайте Интерактивный режим Контроля программ, чтобы детально посмотреть что файл делает. На автомате Слабые ограничения=~Доверенной группе.

3) Не точно. Он ведь не попал в белый список. По ситуации.

4) Логично, смотрите сколько юзеров пользовались. Процесс часто автоматизирован. Если группа Слабые ограничения, 1 год, мало юзеров, то скорее всего облаку не хватило данных для авто-детекта.

5) Да, нельзя, популярность файла гарантирует, что экспертная система по KSN получила достаточно оснований для решения по файлу, передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения....короче у каждых юзеров индивидуальная история попадания (и работы) одного и того же файла. Это имеет большое значение.

6) Если около 1000, то безопасен. По др. вопросам - выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

А вот защитит ли KSN от логической бомбы ?

 

Допустим, компьютеры заражаются логической бомбой, но эта вредоносная программа пока ничего не украла и не зашифровала - она начнет деструктивную активность через месяц например. За этот месяц логическая бомба установится на многие компьютеры. Если эта бомба ещё ничего не испортила, то наверно детекта не будет ? (передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения

 

На сайте касперского написано, что уже через 40 секунд сработает детект и KSN предупредит всех остальных  (когда логическая бомба "взорвется" ) . Если бомба сработает у всех ровно в 21:00:00 на всех компах, то KSN не защитит ? Если бомба обойдет все компоненты антивируса .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зависит от механизма распространения, от самого кода. Если это будет некое ПО (популярный медиа-плеер), который в один прекрасный день все на компе зашифрует, то на момент его срабатывания это будет неожиданностью для антивируса. Если он по поведению обойдет сенсоры каспера, то все зашифрует. Также и с любым другим антивирусом. Каспер тут чисто для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Будет зависеть куда Антивирус Касперского отнесет эту программу, будет ли она в белом списке или нет. Скорее все нет. Это значит, что у нее будут ограничения на действия в системе. А дальше все будет зависеть от конкретных действий программы, что она будет делать и будет ли это блокировать поведенческий анализатор антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нормальная логическая бомба это когда делаешь несколько лет софт, попадаешь во все вайтлисты, имеешь базу юзеров несколько лямов, а потом - бац! и все зашифровал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Основной вопрос про облака. Новый файл, на который возникла реакция проактивной защиты, поступает как-то в вирлаб? Как минимум, как-то у меня в проактивке возникает база известных по поведению троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×