-
<p>Доброго дня!</p>
<p>А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.</p>
<p>По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.</p>
<p>Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.</p>
<p>В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.</p> -
<p>@alexeyk said in <a href="/post/12454" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Доброго дня!</p>
<p>А нет ли у разработчиков желания и возможности добавить в стандартную проверку по умолчанию сканирование ранее запущенных в данном сеансе работы системы файлов, но не работающих в данный момент? Продукты домашней линейки (KIS, SaaS и т.п.) при быстром сканировании проверяют такие файлы, причем даже в случае, если при их запуске антивирус не был активен. Проверяются файлы из любого каталога и любого диска. Как точно это происходит - не знаю, наверное считывается информация о запущенных файлах по аналогии с такими утилитами, как ExecutedProgramsList и LastActivityView.</p>
<p>По-моему, очень полезная вещь. KVRT при стандартном скане проверяет некоторые каталоги, а также запущенные процессы. Но если зловред уже отработал и выгрузился, то он может и не детектироваться. Если он запускался с рабочего стола - будет детект, а если из какой-нибудь папки на рабочем столе или с другого логического диска - не будет.</p>
<p>Попался мне стилер, который за несколько секунд делает скриншот, крадет информацию из браузеров (куки, логины, пароли...), архивирует, отправляет хозяину и сразу выгружается. Заметив странное поведение файла, пользователь выполняет проверку KVRT, но утилита может ничего не обнаружить, если не добавить в лист этот файл или не сделать полный скан. Так же, к примеру и с шифраторами: после отработки совсем не факт, что стандартная проверка его обнаружит. А до полного или выборочного сканирования дело может так и не дойти. Кроме того, это может ускорить процесс детекта и устранения угроз, когда вредоносных файлов несколько, но часть из них завершила работу и будет обнаружена уже при полном сканировании в процессе лечения.</p>
<p>В общем, думаю такая доработка смогла бы улучшить детект при сканировании с настройками по умолчанию, не повлияв существенно на общее время проверки.</p>
</blockquote>
<p>Интересная идея, я думал, что KVRT это уже учитывает.</p> -
<p>@angeldragon said in <a href="/post/12456" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Интересная идея, я думал, что KVRT это уже учитывает.</blockquote>
<p>Идея отличная, но не моя, а подсмотренная из работы продуктов домашней линейки. <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Нет, не учитывает, к сожалению. </p>
<p>Еще придумал такой пример. В систему установился скрытый майнер. Пользователь видит нагрузку по ДЗ, завершает процесс, чтобы освободить ресурсы, затем сканирует KVRT, а детекта может не быть из-за расположения файла вне сканируемых по умолчанию каталогов. Так как каталог майнера неизвестен - нужен полный скан всех дисков. А можно было обойтись быстрым сканированием.</p> -
<p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
<p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
<p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
<p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
<p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p> -
<p>@dmitry-vorontsov</p>
<p>Лучше я не буду углубляться в разговоры и приведу такой пример. Скриншот ниже.</p>
<p>Все просто: я выгрузил KTS, взял три зловреда, поместил их в папку Test на рабочем столе и по очереди запустил. Вполне себе типичная ситуация. После непродолжительной работы все эти семплы самостоятельно быстро выгружаются. Затем я запустил KTS, который, напомню, с этими файлами не знаком, и запустил быстрое сканирование. Были найдены все три файла в папке с рабочего стола и еще два в AppData.</p>
<p>Однако результат рекомендуемого сканирования KVRT сильно отличается: обнаружен только один объект в AppData. А если бы его там не было или он еще не детектировался бы (в данном случае облаком) - результат был бы "угроз не обнаружено".</p>
<p>Причем, если просто положить эти файлы в папку на рабочий стол и выполнить быстрое сканирование, то KTS их не обнаружит.</p>
<p>Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?</p>
<p>Однако замечу, что информацию KTS берет не аналогично указанным мной ранее утилитам, у него какой-то другой способ, о котором мне неизвестно. Утилиты запуски этих файлов не регистрируют.</p>
<p><img src="https://i6.imageban.ru/out/2021/02/04/84c3cdbb538cd7027e4eb24cdb7ddf3d.png" alt="" width="704" height="342" /></p> -
<p>@dmitry-vorontsov я так понимаю, KVRT <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">до сих пор не научился лечить результаты майнера</a>?Раздел просто кишит темами не получается установить Kaspersky</p>
<p><span style="font-size: 8pt; font-size: 8pt;">P.S. Шапку можно поправить, трассировки по умолчанию отключены.</span></p> -
<p>@angeldragon said in <a href="/post/12480" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>я так понимаю, KVRT до сих пор не научился лечить результаты майнера?</blockquote>
<p>Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.</p> -
<p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
<p></p>
<p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
<p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p> -
<p>@angeldragon said in <a href="/post/12529" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения?</blockquote>
<p><span>-noads</span></p> -
<p>@angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.</p>
-
<p>@andrey-kirzhemanov Ясно, спасибо, буду знать.</p>
<p>P.S. Странно, Вы сообщение отправили сегодня, что отобразилось мне в уведомлении, а улетело в форуме оно куда-то вверх и значится как опубликованное 2 месяца назад.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Или же оно только сегодня проявилось вместе с уведомлениями... В общем, какой-то глюк форума.</p> -
<p>@alexeyk said in <a href="/post/12541" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>в MR3 решения ждать не стоит</blockquote>
<p><span style="font-size: 8pt; font-size: 8pt;">Обещали как раз в этой версии сделать доработки, но, наверно, <a href="/topic/2979/%D0%BD%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82%D1%81%D1%8F-%D1%80%D0%B5%D0%BA%D0%BB%D0%B0%D0%BC%D0%B0-%D0%BD%D0%B0-%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%BE%D0%B9-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B8-%D0%B2-%D0%BF%D0%BE%D1%87%D1%82%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-google-chrome/7" target="_blank" rel="noopener">как и с анти-баннером в итоге вышло:</a> вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></span></p> -
<p>@angeldragon Я не слышал, что обещали доработки именно в этой версии.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
-
<p>Не смог закарантинить некоторые объекты, есть только фото:</p>
<p><img src="https://c.radikal.ru/c41/2102/ed/259d66ba54a1.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c24/2102/0b/5acdf94bbe11.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c01/2102/9e/ad9653374c96.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c43/2102/d7/62a0fdb45554.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c22/2102/6f/a74246fc0cd3.jpg" alt="" width="250" height="188" /></p>
<p>Что-то не смог найти информацию по трояну, он распространяется в сети или же только через флешки?</p> -
<p>@angeldragon said in <a href="/post/12545" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>есть только фото</blockquote>
<p>То есть семпла у Вас нет?<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p> -
<p>В последнее время заметил, что на <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">форуме начали</a> появляться темы с Trojan.Win64.Miner.gen, <a href="https://forum.kasperskyclub.ru/topic/80009-pomogite-udalit-trojanwin64minergen/" target="_blank" rel="noopener">пример</a>, думаю KVRT тоже с ним не справится, раз сам антивирус уже не может удалить несколько дней.</p>
-
<p>@angeldragon Это да, несколько перезагрузок и сканирований требуется иногда для полной очистки. Этот момент мне тоже был непонятен, хотя главное, что все найденные объекты в итоге удалялись.</p>