Skip to content
  • Categories
  • KForum
  • KClub
Skins
  • Light
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dark
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor

  • Default (No Skin)
  • No Skin
Collapse

Kaspersky Beta

  1. Home
  2. ДЛЯ РУССКОЯЗЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ
  3. Новости
  4. Тестирование KVRT 2020

Тестирование KVRT 2020

Scheduled Pinned Locked Moved Новости
179 Posts 10 Posters 133.3k Views 10 Watching
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • D Offline
    D Offline
    Dmitry.Vorontsov
    wrote on last edited by
    #154

    <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
    <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
    <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
    <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
    <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

    A A 2 Replies Last reply
    0
    • D Dmitry.Vorontsov

      <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
      <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
      <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
      <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
      <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

      A Offline
      A Offline
      AlexeyK
      wrote on last edited by
      #155

      <p>@dmitry-vorontsov</p>
      <p>Лучше я не буду углубляться в разговоры и приведу такой пример. Скриншот ниже.</p>
      <p>Все просто: я выгрузил KTS, взял три зловреда, поместил их в папку Test на рабочем столе и по очереди запустил. Вполне себе типичная ситуация. После непродолжительной работы все эти семплы самостоятельно быстро выгружаются. Затем я запустил KTS, который, напомню, с этими файлами не знаком, и запустил быстрое сканирование. Были найдены все три файла в папке с рабочего стола и еще два в AppData.</p>
      <p>Однако результат рекомендуемого сканирования KVRT сильно отличается: обнаружен только один объект в AppData. А если бы его там не было или он еще не детектировался бы (в данном случае облаком) - результат был бы "угроз не обнаружено".</p>
      <p>Причем, если просто положить эти файлы в папку на рабочий стол и выполнить быстрое сканирование, то KTS их не обнаружит.</p>
      <p>Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?</p>
      <p>Однако замечу, что информацию KTS берет не аналогично указанным мной ранее утилитам, у него какой-то другой способ, о котором мне неизвестно. Утилиты запуски этих файлов не регистрируют.</p>
      <p><img src="https://i6.imageban.ru/out/2021/02/04/84c3cdbb538cd7027e4eb24cdb7ddf3d.png" alt="" width="704" height="342" /></p>

      Y 1 Reply Last reply
      0
      • D Dmitry.Vorontsov

        <p>Во первых, KVRT по умолчанию проверяет объекты автозапуска. Если майнер или стилер прописан в автозагрузке, KVRT его найдет и проверит.</p>
        <p>Во вторых, KVRT - это не домашний антивирус. Его возможности естественно проигрывают возможностям домашнего продукта. Если KVRT будет  искать список запущенных в течении текущей сессии файлов - это получиться кривая функция, которая будет работать не стабильно и не предсказуемо. Что мешает стилеру после выполнения своих задач удалить свои исполняемые файлы с компьютера пользователя?</p>
        <p>Зловреды могут очищать списки которые показывают <span>ExecutedProgramsList и LastActivityView.</span></p>
        <p><span>Зловреды (тот же упомянутый стилер) могу в конце своей работы перегрузиться машину.</span></p>
        <p><span>Вы уверены, что все запускаемые программы попадают в этот список? И все DLL ? И bat, cmd и PowerShell скрипты?</span></p>

        A Offline
        A Offline
        ANGElDRAGON
        wrote on last edited by ANGElDRAGON
        #156

        <p>@dmitry-vorontsov я так понимаю, KVRT <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">до сих пор не научился лечить результаты майнера</a>?Раздел просто кишит темами не получается установить Kaspersky</p>
        <p><span style="font-size: 8pt; font-size: 8pt;">P.S. Шапку можно поправить,  трассировки по умолчанию отключены.</span></p>

        Kaspersky Premium 60: https://kas.pr/7i7w

        D 1 Reply Last reply
        0
        • A ANGElDRAGON

          <p>@dmitry-vorontsov я так понимаю, KVRT <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">до сих пор не научился лечить результаты майнера</a>?Раздел просто кишит темами не получается установить Kaspersky</p>
          <p><span style="font-size: 8pt; font-size: 8pt;">P.S. Шапку можно поправить,  трассировки по умолчанию отключены.</span></p>

          D Offline
          D Offline
          Dmitry.Vorontsov
          wrote on last edited by
          #157

          <p>@angeldragon said in <a href="/post/12480" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
          <blockquote>я так понимаю, KVRT до сих пор не научился лечить результаты майнера?</blockquote>
          <p>Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.</p>

          A 1 Reply Last reply
          0
          • D Dmitry.Vorontsov

            <p>@angeldragon said in <a href="/post/12480" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
            <blockquote>я так понимаю, KVRT до сих пор не научился лечить результаты майнера?</blockquote>
            <p>Да, пока не научился. Я не могу повлиять на скорость решения этой проблемы.</p>

            A Offline
            A Offline
            ANGElDRAGON
            wrote on last edited by
            #158

            <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
            <p></p>
            <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
            <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
            <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

            Kaspersky Premium 60: https://kas.pr/7i7w

            D A 2 Replies Last reply
            0
            • A ANGElDRAGON

              <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
              <p></p>
              <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
              <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
              <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

              D Offline
              D Offline
              Dmitry.Vorontsov
              wrote on last edited by
              #159

              <p>@angeldragon said in <a href="/post/12529" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
              <blockquote>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения?</blockquote>
              <p><span>-noads</span></p>

              1 Reply Last reply
              1
              • A ANGElDRAGON

                <p>@dmitry-vorontsov есть ли какая-то команда запуска, чтобы KVRT не предлагал устанавливать антивирус по окончанию сканирования или лечения? Или это входит в -silent?</p>
                <p></p>
                <p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                <blockquote>Я уже отправил информацию по данному инциденту.</blockquote>
                <p>Что-то сообщила команда разработки MR3? <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">Не нашел тему с багой здесь.</a></p>

                A Offline
                A Offline
                AlexeyK
                wrote on last edited by
                #160

                <p>@angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.</p>

                A 1 Reply Last reply
                0
                • A Andrey.Kirzhemanov

                  <p>@alexeyk said in <a href="/post/11750" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                  <blockquote>
                  <p>@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                  <blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
                  <p>Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
                  </blockquote>
                  <p>Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).</p>

                  A Offline
                  A Offline
                  AlexeyK
                  wrote on last edited by AlexeyK
                  #161

                  <p>@andrey-kirzhemanov Ясно, спасибо, буду знать.</p>
                  <p>P.S. Странно, Вы сообщение отправили сегодня, что отобразилось мне в уведомлении, а улетело в форуме оно куда-то вверх и значится как опубликованное 2 месяца назад.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Или же оно только сегодня проявилось вместе с уведомлениями... В общем, какой-то глюк форума.</p>

                  1 Reply Last reply
                  0
                  • L Offline
                    L Offline
                    LostGirl
                    wrote on last edited by
                    #162

                    <p>весело хотела другое написать но этого хватит</p>

                    1 Reply Last reply
                    0
                    • L Offline
                      L Offline
                      LostGirl
                      wrote on last edited by
                      #163

                      <p>весело ))</p>

                      1 Reply Last reply
                      0
                      • A AlexeyK

                        <p>@angeldragon Нет, не сообщила. И судя по всему, в MR3 решения ждать не стоит. Тему на форуме не создавал, отправил по другому каналу.</p>

                        A Offline
                        A Offline
                        ANGElDRAGON
                        wrote on last edited by
                        #164

                        <p>@alexeyk said in <a href="/post/12541" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                        <blockquote>в MR3 решения ждать не стоит</blockquote>
                        <p><span style="font-size: 8pt; font-size: 8pt;">Обещали как раз в этой версии сделать доработки, но, наверно, <a href="/topic/2979/%D0%BD%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82%D1%81%D1%8F-%D1%80%D0%B5%D0%BA%D0%BB%D0%B0%D0%BC%D0%B0-%D0%BD%D0%B0-%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%BE%D0%B9-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B8-%D0%B2-%D0%BF%D0%BE%D1%87%D1%82%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-google-chrome/7" target="_blank" rel="noopener">как и с анти-баннером в итоге вышло:</a> вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></span></p>

                        Kaspersky Premium 60: https://kas.pr/7i7w

                        A Y 2 Replies Last reply
                        0
                        • A ANGElDRAGON

                          <p>@alexeyk said in <a href="/post/12541" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                          <blockquote>в MR3 решения ждать не стоит</blockquote>
                          <p><span style="font-size: 8pt; font-size: 8pt;">Обещали как раз в этой версии сделать доработки, но, наверно, <a href="/topic/2979/%D0%BD%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D1%83%D0%B5%D1%82%D1%81%D1%8F-%D1%80%D0%B5%D0%BA%D0%BB%D0%B0%D0%BC%D0%B0-%D0%BD%D0%B0-%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%BE%D0%B9-%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%B8-%D0%B2-%D0%BF%D0%BE%D1%87%D1%82%D0%B5-%D1%8F%D0%BD%D0%B4%D0%B5%D0%BA%D1%81-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-google-chrome/7" target="_blank" rel="noopener">как и с анти-баннером в итоге вышло:</a> вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></span></p>

                          A Offline
                          A Offline
                          AlexeyK
                          wrote on last edited by
                          #165

                          <p>@angeldragon Я не слышал, что обещали доработки именно в этой версии.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                          1 Reply Last reply
                          0
                          • A Offline
                            A Offline
                            ANGElDRAGON
                            wrote on last edited by ANGElDRAGON
                            #166

                            <p>Не смог закарантинить некоторые объекты, есть только фото:</p>
                            <p><img src="https://c.radikal.ru/c41/2102/ed/259d66ba54a1.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c24/2102/0b/5acdf94bbe11.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c01/2102/9e/ad9653374c96.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c43/2102/d7/62a0fdb45554.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c22/2102/6f/a74246fc0cd3.jpg" alt="" width="250" height="188" /></p>
                            <p>Что-то не смог найти информацию по трояну, он распространяется в сети или же только через флешки?</p>

                            Kaspersky Premium 60: https://kas.pr/7i7w

                            A 1 Reply Last reply
                            0
                            • A ANGElDRAGON

                              <p>Не смог закарантинить некоторые объекты, есть только фото:</p>
                              <p><img src="https://c.radikal.ru/c41/2102/ed/259d66ba54a1.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c24/2102/0b/5acdf94bbe11.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c01/2102/9e/ad9653374c96.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c43/2102/d7/62a0fdb45554.jpg" alt="" width="250" height="188" /><img src="https://c.radikal.ru/c22/2102/6f/a74246fc0cd3.jpg" alt="" width="250" height="188" /></p>
                              <p>Что-то не смог найти информацию по трояну, он распространяется в сети или же только через флешки?</p>

                              A Offline
                              A Offline
                              AlexeyK
                              wrote on last edited by
                              #167

                              <p>@angeldragon said in <a href="/post/12545" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                              <blockquote>есть только фото</blockquote>
                              <p>То есть семпла у Вас нет?<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                              A 1 Reply Last reply
                              0
                              • A AlexeyK

                                <p>@angeldragon said in <a href="/post/12545" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
                                <blockquote>есть только фото</blockquote>
                                <p>То есть семпла у Вас нет?<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

                                A Offline
                                A Offline
                                ANGElDRAGON
                                wrote on last edited by ANGElDRAGON
                                #168

                                <p>@alexeyk да, случайно очистил карантин, но эта версия лучше удаляет, чем предыдущая. Прошлые версии раза 3 просили перезагрузить компьютер, чтобы полностью удалить найденный объект.</p>

                                Kaspersky Premium 60: https://kas.pr/7i7w

                                A 1 Reply Last reply
                                1
                                • A Offline
                                  A Offline
                                  ANGElDRAGON
                                  wrote on last edited by
                                  #169

                                  <p>В последнее время заметил, что на <a href="https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/" target="_blank" rel="noopener">форуме начали</a> появляться темы с Trojan.Win64.Miner.gen, <a href="https://forum.kasperskyclub.ru/topic/80009-pomogite-udalit-trojanwin64minergen/" target="_blank" rel="noopener">пример</a>, думаю KVRT тоже с ним не справится, раз сам антивирус уже не может удалить несколько дней.</p>

                                  Kaspersky Premium 60: https://kas.pr/7i7w

                                  1 Reply Last reply
                                  0
                                  • A ANGElDRAGON

                                    <p>@alexeyk да, случайно очистил карантин, но эта версия лучше удаляет, чем предыдущая. Прошлые версии раза 3 просили перезагрузить компьютер, чтобы полностью удалить найденный объект.</p>

                                    A Offline
                                    A Offline
                                    AlexeyK
                                    wrote on last edited by
                                    #170

                                    <p>@angeldragon Это да, несколько перезагрузок и сканирований требуется иногда для полной очистки. Этот момент мне тоже был непонятен, хотя главное, что все найденные объекты в итоге удалялись.</p>

                                    A 1 Reply Last reply
                                    0
                                    • A AlexeyK

                                      <p>@angeldragon Это да, несколько перезагрузок и сканирований требуется иногда для полной очистки. Этот момент мне тоже был непонятен, хотя главное, что все найденные объекты в итоге удалялись.</p>

                                      A Offline
                                      A Offline
                                      ANGElDRAGON
                                      wrote on last edited by
                                      #171

                                      <p>@alexeyk ну там после каждой перезагрузки полная проверка еще запускалась, то есть времени больше уходило на лечение.</p>

                                      Kaspersky Premium 60: https://kas.pr/7i7w

                                      A 1 Reply Last reply
                                      1
                                      • A ANGElDRAGON

                                        <p>@alexeyk ну там после каждой перезагрузки полная проверка еще запускалась, то есть времени больше уходило на лечение.</p>

                                        A Offline
                                        A Offline
                                        AlexeyK
                                        wrote on last edited by
                                        #172

                                        <p>@angeldragon Надо будет побольше потестировать эту версию именно на лечение активного заражения. Действительно, процесс очень неторопливый, в том числе из-за ограниченности ресурсов на виртуалке. Даже с SSD пока завершатся все сканы и лечения... <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-undecided.gif" alt="undecided" /></p>

                                        A 1 Reply Last reply
                                        0
                                        • A AlexeyK

                                          <p>@angeldragon Надо будет побольше потестировать эту версию именно на лечение активного заражения. Действительно, процесс очень неторопливый, в том числе из-за ограниченности ресурсов на виртуалке. Даже с SSD пока завершатся все сканы и лечения... <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-undecided.gif" alt="undecided" /></p>

                                          A Offline
                                          A Offline
                                          ANGElDRAGON
                                          wrote on last edited by
                                          #173

                                          <p>@alexeyk интересно как сработает команда: "<span>-noads</span>", насколько понял, то если в самом окне нажать больше не показывать, то в каталоге создается файл с отключением этой рекламы и фактический его можно всегда закидывать в каталог программы. Надо протестить, если этот файл будет рядом с дистрибутивом, то применяться ли настройки )</p>

                                          Kaspersky Premium 60: https://kas.pr/7i7w

                                          A 1 Reply Last reply
                                          0
                                          Reply
                                          • Reply as topic
                                          Log in to reply
                                          • Oldest to Newest
                                          • Newest to Oldest
                                          • Most Votes


                                          • Login

                                          • Don't have an account? Register

                                          • Login or register to search.
                                          • First post
                                            Last post
                                          0
                                          • Categories
                                          • KForum
                                          • KClub