Перейти к содержанию

Recommended Posts

Сергей Ильин

Предположу, что дело в недостаточной статистике. Вероятно потому, что у этого файла всего 1 пользователь за месяц, а всего их 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ? Если бы там была малваря, то за год её бы точно обнаружили ?

Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
1) Говорит ли что-либо о безопасности файла информация о том, когда файл появился в Kaspersky Application Advisor, в KSN ?

2) Если файл впервые появился там 2 недели назад - он точно безопасен ? Или месяц назад. При запуске попадает в "слабые ограничения" .

3)Если exe-файл появился в KSN год назад, но при запуске с настройками антивируса по умолчанию не попадает в группу "доверенные", а попадает в "слабые ограничения" - он точно безопасен ?

4) Если бы там была малваря, то за год её бы точно обнаружили ?

5) Если файл запускали менее 10 человек, то нельзя гарантировать, что файл безопасен, даже если давно появился в KSN?

6) Количество людей, запустивших файл, может "говорить" о безопасности файла ? Или количество людей не влияет ? Если его запускали менее 1000 человек, то файл наверняка безопасен ?

0) Любой рейтинг может ошибаться, KSN склонна часто доверяться ПНП первое время. Ответы даю примерные, всё зависит от ситуации, хотите хорошей безопасности не используя интерактивный режим Контроля программ - включите "Режим Безопасных программ", если программа будет запрещена к запуску (признана любой, кроме Доверенной), то проверите на VT, хотя VT гарантии тоже не даёт.

1)Говорит скорее о том, что файл будет или был проанализирован и уже не является однозначно неизвестным. + к безопасности файла в таком случае.

2) Не точно, если 2 недели и если месяц назад. Точно и то не всегд факт - ДОВЕРЕННАЯ группа. Если при запуске в Слабых ограничения, то нет в белом списке (доверенных), значит - не всё так просто, включайте Интерактивный режим Контроля программ, чтобы детально посмотреть что файл делает. На автомате Слабые ограничения=~Доверенной группе.

3) Не точно. Он ведь не попал в белый список. По ситуации.

4) Логично, смотрите сколько юзеров пользовались. Процесс часто автоматизирован. Если группа Слабые ограничения, 1 год, мало юзеров, то скорее всего облаку не хватило данных для авто-детекта.

5) Да, нельзя, популярность файла гарантирует, что экспертная система по KSN получила достаточно оснований для решения по файлу, передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения....короче у каждых юзеров индивидуальная история попадания (и работы) одного и того же файла. Это имеет большое значение.

6) Если около 1000, то безопасен. По др. вопросам - выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

А вот защитит ли KSN от логической бомбы ?

 

Допустим, компьютеры заражаются логической бомбой, но эта вредоносная программа пока ничего не украла и не зашифровала - она начнет деструктивную активность через месяц например. За этот месяц логическая бомба установится на многие компьютеры. Если эта бомба ещё ничего не испортила, то наверно детекта не будет ? (передаются многие вещи, шаблоны поведения программы с разных компов (PBS), телеметрия разного характера, фиксируются источники распространения

 

На сайте касперского написано, что уже через 40 секунд сработает детект и KSN предупредит всех остальных  (когда логическая бомба "взорвется" ) . Если бомба сработает у всех ровно в 21:00:00 на всех компах, то KSN не защитит ? Если бомба обойдет все компоненты антивируса .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зависит от механизма распространения, от самого кода. Если это будет некое ПО (популярный медиа-плеер), который в один прекрасный день все на компе зашифрует, то на момент его срабатывания это будет неожиданностью для антивируса. Если он по поведению обойдет сенсоры каспера, то все зашифрует. Также и с любым другим антивирусом. Каспер тут чисто для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Будет зависеть куда Антивирус Касперского отнесет эту программу, будет ли она в белом списке или нет. Скорее все нет. Это значит, что у нее будут ограничения на действия в системе. А дальше все будет зависеть от конкретных действий программы, что она будет делать и будет ли это блокировать поведенческий анализатор антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нормальная логическая бомба это когда делаешь несколько лет софт, попадаешь во все вайтлисты, имеешь базу юзеров несколько лямов, а потом - бац! и все зашифровал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Основной вопрос про облака. Новый файл, на который возникла реакция проактивной защиты, поступает как-то в вирлаб? Как минимум, как-то у меня в проактивке возникает база известных по поведению троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×