Перейти к содержанию

Recommended Posts

Сергей Ильин

Предположу, что дело в недостаточной статистике. Вероятно потому, что у этого файла всего 1 пользователь за месяц, а всего их 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ? Если бы там была малваря, то за год её бы точно обнаружили ?

Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
1) Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

2) Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

3)Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ?

4) Если бы там была малваря, то за год её бы точно обнаружили ?

5) Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

6) Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

0) Любой рейтинг может ошибаться, KSN склонна часто доверяться ПНП первое время. Ответы даю примерные, всё зависит от ситуации, хотите хорошей безопасности не используя интерактивный режим Контроля программ - включите "Режим Безопасных программ", если программа будет запрещена к запуску (признана любой, кроме Доверенной), то проверите на VT, хотя VT гарантии тоже не даёт.

1)Говорит скорее о том, что файл будет или был проанализирован и уже не является однозначно неизвестным. + к безопасности файла в таком случае.

2) Не точно, если 2 недели и если месяц назад. Точно и то не всегд факт - ДОВЕРЕННАЯ группа. Если при запуске в Слабых ограничения, то нет в белом списке (доверенных), значит - не всё так просто, включайте Интерактивный режим Контроля программ, чтобы детально посмотреть что файл делает. На автомате Слабые ограничения=~Доверенной группе.

3) Не точно. Он ведь не попал в белый список. По ситуации.

4) Логично, смотрите сколько юзеров пользовались. Процесс часто автоматизирован. Если группа Слабые ограничения, 1 год, мало юзеров, то скорее всего облаку не хватило данных для авто-детекта.

5) Да, нельзя, популярность файла гарантирует, что экспертная система по KSN получила достаточно оснований для решения по файлу, передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения....короче у каждых юзеров индивидуальная история попадания (и работы) одного и того же файла. Это имеет большое значение.

6) Если около 1000, то безопасен. По др. вопросам - выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

А вот защитит ли KSN от логической бомбы ?

 

Допустим, компьютеры заражаются логической бомбой, но эта вредоносная программа пока ничего не украла и не зашифровала - она начнет деструктивную активность через месяц например. За этот месяц логическая бомба установится на многие компьютеры. Если эта бомба ещё ничего не испортила, то наверно детекта не будет ? (передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения

 

На сайте касперского написано, что уже через 40 секунд сработает детект и KSN предупредит всех остальных  (когда логическая бомба "взорвется" ) . Если бомба сработает у всех ровно в 21:00:00 на всех компах, то KSN не защитит ? Если бомба обойдет все компоненты антивируса .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зависит от механизма распространения, от самого кода. Если это будет некое ПО (популярный медиа-плеер), который в один прекрасный день все на компе зашифрует, то на момент его срабатывания это будет неожиданностью для антивируса. Если он по поведению обойдет сенсоры каспера, то все зашифрует. Также и с любым другим антивирусом. Каспер тут чисто для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Будет зависеть куда Антивирус Касперского отнесет эту программу, будет ли она в белом списке или нет. Скорее все нет. Это значит, что у нее будут ограничения на действия в системе. А дальше все будет зависеть от конкретных действий программы, что она будет делать и будет ли это блокировать поведенческий анализатор антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нормальная логическая бомба это когда делаешь несколько лет софт, попадаешь во все вайтлисты, имеешь базу юзеров несколько лямов, а потом - бац! и все зашифровал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Основной вопрос про облака. Новый файл, на который возникла реакция проактивной защиты, поступает как-то в вирлаб? Как минимум, как-то у меня в проактивке возникает база известных по поведению троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AnngelMok
      ННАдо надо

      ---
      Согласен, это забавное мнение скачать фифа, скачать fifa а также fifa 15 скачать fifa
    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
×