Перейти к содержанию

Recommended Posts

Сергей Ильин

Предположу, что дело в недостаточной статистике. Вероятно потому, что у этого файла всего 1 пользователь за месяц, а всего их 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ? Если бы там была малваря, то за год её бы точно обнаружили ?

Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
1) Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

2) Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

3)Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ?

4) Если бы там была малваря, то за год её бы точно обнаружили ?

5) Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

6) Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

0) Любой рейтинг может ошибаться, KSN склонна часто доверяться ПНП первое время. Ответы даю примерные, всё зависит от ситуации, хотите хорошей безопасности не используя интерактивный режим Контроля программ - включите "Режим Безопасных программ", если программа будет запрещена к запуску (признана любой, кроме Доверенной), то проверите на VT, хотя VT гарантии тоже не даёт.

1)Говорит скорее о том, что файл будет или был проанализирован и уже не является однозначно неизвестным. + к безопасности файла в таком случае.

2) Не точно, если 2 недели и если месяц назад. Точно и то не всегд факт - ДОВЕРЕННАЯ группа. Если при запуске в Слабых ограничения, то нет в белом списке (доверенных), значит - не всё так просто, включайте Интерактивный режим Контроля программ, чтобы детально посмотреть что файл делает. На автомате Слабые ограничения=~Доверенной группе.

3) Не точно. Он ведь не попал в белый список. По ситуации.

4) Логично, смотрите сколько юзеров пользовались. Процесс часто автоматизирован. Если группа Слабые ограничения, 1 год, мало юзеров, то скорее всего облаку не хватило данных для авто-детекта.

5) Да, нельзя, популярность файла гарантирует, что экспертная система по KSN получила достаточно оснований для решения по файлу, передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения....короче у каждых юзеров индивидуальная история попадания (и работы) одного и того же файла. Это имеет большое значение.

6) Если около 1000, то безопасен. По др. вопросам - выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

А вот защитит ли KSN от логической бомбы ?

 

Допустим, компьютеры заражаются логической бомбой, но эта вредоносная программа пока ничего не украла и не зашифровала - она начнет деструктивную активность через месяц например. За этот месяц логическая бомба установится на многие компьютеры. Если эта бомба ещё ничего не испортила, то наверно детекта не будет ? (передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения

 

На сайте касперского написано, что уже через 40 секунд сработает детект и KSN предупредит всех остальных  (когда логическая бомба "взорвется" ) . Если бомба сработает у всех ровно в 21:00:00 на всех компах, то KSN не защитит ? Если бомба обойдет все компоненты антивируса .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зависит от механизма распространения, от самого кода. Если это будет некое ПО (популярный медиа-плеер), который в один прекрасный день все на компе зашифрует, то на момент его срабатывания это будет неожиданностью для антивируса. Если он по поведению обойдет сенсоры каспера, то все зашифрует. Также и с любым другим антивирусом. Каспер тут чисто для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Будет зависеть куда Антивирус Касперского отнесет эту программу, будет ли она в белом списке или нет. Скорее все нет. Это значит, что у нее будут ограничения на действия в системе. А дальше все будет зависеть от конкретных действий программы, что она будет делать и будет ли это блокировать поведенческий анализатор антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нормальная логическая бомба это когда делаешь несколько лет софт, попадаешь во все вайтлисты, имеешь базу юзеров несколько лямов, а потом - бац! и все зашифровал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Основной вопрос про облака. Новый файл, на который возникла реакция проактивной защиты, поступает как-то в вирлаб? Как минимум, как-то у меня в проактивке возникает база известных по поведению троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Alushaa
      Весьма хорошее приложение чтобы проверить авто по номеру и прочему. Удобно и совершенно бесплатно, так что если вам интересно, то стоит с ним все же ознакомиться и вам самим.
    • Alushaa
      Здесь рекомендую почитать про свойства гуараны. Весьма любопытная статья, которая лично мне во всех смыслах понравилась, так что почитать её рекомендую и вам самим, думаю не разочаруетесь совсем.
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.29.
    • Quinci
      Уже давно уехал из Перми на ПМЖ в Москву, иногда только к родне возвращаюсь повидаться. В этом году, увы, не получилось и не получится из-за напряженного графика работы. Вскоре у моей школьной учительницы, классного руководителя, которая дала нам многое, будет юбилей - 60 лет. Оставшиеся в Перми одноклассники планируют чего-то даже ей презентовать, но у меня не получается с ними как-то её лично поздравить. Вот думаю заказать цветы через http://perm.lotos-fl.ru и коробку конфет. Есть ли кто пользовался их услугами? Свежие ли цветы? Вовремя ли доставку организовывают? Поделитесь отзывами пожалуйста. 
    • Alushaa
      Последние новости про бизнес тут спокойно читаю https://promdevelop.ru/news/prognoz-na-rost-tseny-nefti-100-dollarov-za-barrel-prichiny-podorozhaniya/  Мне все у них понравилось и в целом там много дельной информации, которая может быть вам как раз полезна
×