Skip to content
kaspersky beta

beta

  • Register

  • Login

  • Categories
  • KForum
  • KClub
  1. Home
  2. ДЛЯ РУССКОЯЗЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ
  3. Новости
  4. Тестирование KVRT 2020

Тестирование KVRT 2020

Scheduled Pinned Locked Moved Новости
179 Posts 10 Posters 148.7k Views 10 Watching
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • D Offline
    D Offline
    Dmitry.Vorontsov
    wrote on last edited by
    #154

    <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
    <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
    <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
    <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
    <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

    A A 2 Replies Last reply
    0
    • D Dmitry.Vorontsov

      <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
      <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
      <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
      <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
      <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

      A Offline
      A Offline
      AlexeyK
      wrote on last edited by
      #155

      <p>@dmitry-vorontsov</p>
      <p>Лучше я не буду углубляться в разговоры и приведу такой пример. Скриншот ниже.</p>
      <p>Все просто: я выгрузил KTS, взял три зловреда, поместил их в папку Test на рабочем столе и по очереди запустил. Вполне себе типичная ситуация. После непродолжительной работы все эти семплы самостоятельно быстро выгружаются. Затем я запустил KTS, который, напомню, с этими файлами не знаком, и запустил быстрое сканирование. Были найдены все три файла в папке с рабочего стола и еще два в AppData.</p>
      <p>Однако результат рекомендуемого сканирования KVRT сильно отличается: обнаружен только один объект в AppData. А если бы его там не было или он еще не детектировался бы (в данном случае облаком) - результат был бы "угроз не обнаружено".</p>
      <p>Причем, если просто положить эти файлы в папку на рабочий стол и выполнить быстрое сканирование, то KTS их не обнаружит.</p>
      <p>Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?</p>
      <p>Однако замечу, что информацию KTS берет не аналогично указанным мной ранее утилитам, у него какой-то другой способ, о котором мне неизвестно. Утилиты запуски этих файлов не регистрируют.</p>
      <p><img src="https://i6.imageban.ru/out/2021/02/04/84c3cdbb538cd7027e4eb24cdb7ddf3d.png" alt="" width="704" height="342" /></p>

      Y 1 Reply Last reply
      0
      • D Dmitry.Vorontsov

        <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
        <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
        <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
        <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
        <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

        A Offline
        A Offline
        ANGElDRAGON
        wrote on last edited by ANGElDRAGON
        #156

        <p>@dmitry-vorontsov я так понимаю, KVRT <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">до сих пор не научился лечить результаты майнера</a>?Раздел просто кишит темами не получается установить Kaspersky</p>
        <p><span style="font-size: 8pt; font-size: 8pt;">P.S. Шапку можно поправить,  трассировки по умолчанию отключены.</span></p>

        Kaspersky Premium 60: https://kas.pr/7i7w

        D 1 Reply Last reply
        0
        • A ANGElDRAGON

          <p>@dmitry-vorontsov я так понимаю, KVRT <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">до сих пор не научился лечить результаты майнера</a>?Раздел просто кишит темами не получается установить Kaspersky</p>
          <p><span style="font-size: 8pt; font-size: 8pt;">P.S. Шапку можно поправить,  трассировки по умолчанию отключены.</span></p>

          D Offline
          D Offline
          Dmitry.Vorontsov
          wrote on last edited by
          #157

          <p>@angeldragon said in <a href="/post/12480" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
          <blockquote>я так понимаю, KVRT до сих пор не научился лечить результаты майнера?</blockquote>
          <p>Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.</p>

          A 1 Reply Last reply
          0
          • D Dmitry.Vorontsov

            <p>@angeldragon said in <a href="/post/12480" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
            <blockquote>я так понимаю, KVRT до сих пор не научился лечить результаты майнера?</blockquote>
            <p>Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.</p>

            A Offline
            A Offline
            ANGElDRAGON
            wrote on last edited by
            #158

            <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
            <p></p>
            <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
            <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
            <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

            Kaspersky Premium 60: https://kas.pr/7i7w

            D A 2 Replies Last reply
            0
            • A ANGElDRAGON

              <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
              <p></p>
              <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
              <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
              <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

              D Offline
              D Offline
              Dmitry.Vorontsov
              wrote on last edited by
              #159

              <p>@angeldragon said in <a href="/post/12529" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
              <blockquote>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения?</blockquote>
              <p><span>-noads</span></p>

              1 Reply Last reply
              1
              • A ANGElDRAGON

                <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
                <p></p>
                <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
                <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

                A Offline
                A Offline
                AlexeyK
                wrote on last edited by
                #160

                <p>@angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.</p>

                A 1 Reply Last reply
                0
                • A Andrey.Kirzhemanov

                  <p>@alexeyk said in <a href="/post/11750" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                  <blockquote>
                  <p>@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                  <blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
                  <p>Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
                  </blockquote>
                  <p>Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).</p>

                  A Offline
                  A Offline
                  AlexeyK
                  wrote on last edited by AlexeyK
                  #161

                  <p>@andrey-kirzhemanov Ясно, спасибо, буду знать.</p>
                  <p>P.S. Странно, Вы сообщение отправили сегодня, что отобразилось мне в уведомлении, а улетело в форуме оно куда-то вверх и значится как опубликованное 2 месяца назад.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Или же оно только сегодня проявилось вместе с уведомлениями... В общем, какой-то глюк форума.</p>

                  1 Reply Last reply
                  0
                  • L Offline
                    L Offline
                    LostGirl
                    wrote on last edited by
                    #162

                    <p>весело хотела другое написать но этого хватит</p>

                    1 Reply Last reply
                    0
                    • L Offline
                      L Offline
                      LostGirl
                      wrote on last edited by
                      #163

                      <p>весело ))</p>

                      1 Reply Last reply
                      0
                      • A AlexeyK

                        <p>@angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.</p>

                        A Offline
                        A Offline
                        ANGElDRAGON
                        wrote on last edited by
                        #164

                        <p>@alexeyk said in <a href="/post/12541" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                        <blockquote>в MR3 решения ждать не стоит</blockquote>
                        <p><span style="font-size: 8pt; font-size: 8pt;">Обещали как раз в этой версии сделать доработки, но, наверно, <a href="/topic/2979/%D0%BD%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82%D1%81%D1%8F-%D1%80%D0%B5%D0%BA%D0%BB%D0%B0%D0%BC%D0%B0-%D0%BD%D0%B0-%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%BE%D0%B9-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B8-%D0%B2-%D0%BF%D0%BE%D1%87%D1%82%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-google-chrome/7" target="_blank" rel="noopener">как и с анти-баннером в итоге вышло:</a> вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></span></p>

                        Kaspersky Premium 60: https://kas.pr/7i7w

                        A Y 2 Replies Last reply
                        0
                        • A ANGElDRAGON

                          <p>@alexeyk said in <a href="/post/12541" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                          <blockquote>в MR3 решения ждать не стоит</blockquote>
                          <p><span style="font-size: 8pt; font-size: 8pt;">Обещали как раз в этой версии сделать доработки, но, наверно, <a href="/topic/2979/%D0%BD%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82%D1%81%D1%8F-%D1%80%D0%B5%D0%BA%D0%BB%D0%B0%D0%BC%D0%B0-%D0%BD%D0%B0-%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%BE%D0%B9-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B8-%D0%B2-%D0%BF%D0%BE%D1%87%D1%82%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-google-chrome/7" target="_blank" rel="noopener">как и с анти-баннером в итоге вышло:</a> вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></span></p>

                          A Offline
                          A Offline
                          AlexeyK
                          wrote on last edited by
                          #165

                          <p>@angeldragon Я не слышал, что обещали доработки именно в этой версии.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                          1 Reply Last reply
                          0
                          • A Offline
                            A Offline
                            ANGElDRAGON
                            wrote on last edited by ANGElDRAGON
                            #166

                            <p>Не смог закарантинить некоторые объекты, есть только фото:</p>
                            <p><img src="https://c.radikal.ru/c41/2102/ed/259d66ba54a1.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c24/2102/0b/5acdf94bbe11.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c01/2102/9e/ad9653374c96.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c43/2102/d7/62a0fdb45554.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c22/2102/6f/a74246fc0cd3.jpg" alt="" width="250" height="188" /></p>
                            <p>Что-то не смог найти информацию по трояну, он распространяется в сети или же только через флешки?</p>

                            Kaspersky Premium 60: https://kas.pr/7i7w

                            A 1 Reply Last reply
                            0
                            • A ANGElDRAGON

                              <p>Не смог закарантинить некоторые объекты, есть только фото:</p>
                              <p><img src="https://c.radikal.ru/c41/2102/ed/259d66ba54a1.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c24/2102/0b/5acdf94bbe11.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c01/2102/9e/ad9653374c96.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c43/2102/d7/62a0fdb45554.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c22/2102/6f/a74246fc0cd3.jpg" alt="" width="250" height="188" /></p>
                              <p>Что-то не смог найти информацию по трояну, он распространяется в сети или же только через флешки?</p>

                              A Offline
                              A Offline
                              AlexeyK
                              wrote on last edited by
                              #167

                              <p>@angeldragon said in <a href="/post/12545" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                              <blockquote>есть только фото</blockquote>
                              <p>То есть семпла у Вас нет?<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                              A 1 Reply Last reply
                              0
                              • A AlexeyK

                                <p>@angeldragon said in <a href="/post/12545" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                                <blockquote>есть только фото</blockquote>
                                <p>То есть семпла у Вас нет?<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                                A Offline
                                A Offline
                                ANGElDRAGON
                                wrote on last edited by ANGElDRAGON
                                #168

                                <p>@alexeyk да, случайно очистил карантин, но эта версия лучше удаляет, чем предыдущая. Прошлые версии раза 3 просили перезагрузить компьютер, чтобы полностью удалить найденный объект.</p>

                                Kaspersky Premium 60: https://kas.pr/7i7w

                                A 1 Reply Last reply
                                1
                                • A Offline
                                  A Offline
                                  ANGElDRAGON
                                  wrote on last edited by
                                  #169

                                  <p>В последнее время заметил, что на <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">форуме начали</a> появляться темы с Trojan.Win64.Miner.gen, <a href="https://forum.kasperskyclub.ru/topic/80009-pomogite-udalit-trojanwin64minergen/" target="_blank" rel="noopener">пример</a>, думаю KVRT тоже с ним не справится, раз сам антивирус уже не может удалить несколько дней.</p>

                                  Kaspersky Premium 60: https://kas.pr/7i7w

                                  1 Reply Last reply
                                  0
                                  • A ANGElDRAGON

                                    <p>@alexeyk да, случайно очистил карантин, но эта версия лучше удаляет, чем предыдущая. Прошлые версии раза 3 просили перезагрузить компьютер, чтобы полностью удалить найденный объект.</p>

                                    A Offline
                                    A Offline
                                    AlexeyK
                                    wrote on last edited by
                                    #170

                                    <p>@angeldragon Это да, несколько перезагрузок и сканирований требуется иногда для полной очистки. Этот момент мне тоже был непонятен, хотя главное, что все найденные объекты в итоге удалялись.</p>

                                    A 1 Reply Last reply
                                    0
                                    • A AlexeyK

                                      <p>@angeldragon Это да, несколько перезагрузок и сканирований требуется иногда для полной очистки. Этот момент мне тоже был непонятен, хотя главное, что все найденные объекты в итоге удалялись.</p>

                                      A Offline
                                      A Offline
                                      ANGElDRAGON
                                      wrote on last edited by
                                      #171

                                      <p>@alexeyk ну там после каждой перезагрузки полная проверка еще запускалась, то есть времени больше уходило на лечение.</p>

                                      Kaspersky Premium 60: https://kas.pr/7i7w

                                      A 1 Reply Last reply
                                      1
                                      • A ANGElDRAGON

                                        <p>@alexeyk ну там после каждой перезагрузки полная проверка еще запускалась, то есть времени больше уходило на лечение.</p>

                                        A Offline
                                        A Offline
                                        AlexeyK
                                        wrote on last edited by
                                        #172

                                        <p>@angeldragon Надо будет побольше потестировать эту версию именно на лечение активного заражения. Действительно, процесс очень неторопливый, в том числе из-за ограниченности ресурсов на виртуалке. Даже с SSD пока завершатся все сканы и лечения... <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-undecided.gif" alt="undecided" /></p>

                                        A 1 Reply Last reply
                                        0
                                        • A AlexeyK

                                          <p>@angeldragon Надо будет побольше потестировать эту версию именно на лечение активного заражения. Действительно, процесс очень неторопливый, в том числе из-за ограниченности ресурсов на виртуалке. Даже с SSD пока завершатся все сканы и лечения... <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-undecided.gif" alt="undecided" /></p>

                                          A Offline
                                          A Offline
                                          ANGElDRAGON
                                          wrote on last edited by
                                          #173

                                          <p>@alexeyk интересно как сработает команда: "<span>-noads</span>", насколько понял, то если в самом окне нажать больше не показывать, то в каталоге создается файл с отключением этой рекламы и фактический его можно всегда закидывать в каталог программы. Надо протестить, если этот файл будет рядом с дистрибутивом, то применяться ли настройки )</p>

                                          Kaspersky Premium 60: https://kas.pr/7i7w

                                          A 1 Reply Last reply
                                          0
                                          Reply
                                          • Reply as topic
                                          Log in to reply
                                          • Oldest to Newest
                                          • Newest to Oldest
                                          • Most Votes


                                          • First post
                                            Last post
                                          0
                                          • Categories
                                          • KForum
                                          • KClub