8. Ложное срабатывание HEUR на пустышки.

#3971 Ложное срабатывание HEUR на пустышки.

  • Reopened

    A
    , last edited by Jarvis

    Шаги воспроизведения:

    Скачать и установить русскую версию  Kaspersky Security Plus

    Активировать.

    Скачать пустышки, которые имитируют нежелательное ПО.

    Актуальный результат:

    Антивирус удаляет пустышки, которые ничего вредосного не делают и системой все нормально.

    Ожидаемый результат:

    Антивирус ничего делать не будет, так как файлы пустышки.

    System Settings

    Operating system: Win 10, x64

    System: i5-8300H, 16 ГБ, 60 ГБ

    Product: PLUS

    Product Version: 21.5.11.367

    Language: ru-RU

    Product Logs: https://cloud.qainfo.ru/s/l0AIcz0ZTGx1bM5

  • Добрый день! Детект есть детект. Не важно пустышка это или реальный зловред. Суть приложения в том чтобы удалять/блокировать/лечить все что имеет явные признаки зловреда. Коллеги из отдела АВ говорят, что ни о каких доработках в этом плане речи быть не может. Если говорить об АВ, то багом тут будет удаление действительно "чистого файла" например известного медиаплеера или игры.
  • A

    @jarvis добрый вечер,  в том то и дело, что тут явных признаков зловреда нет, то есть ложный детект - некорректная работа эвристического анализатора.

  • Если я вас верно понял, вы используете файл который имеет явный признак зловреда ("Скачать пустышки, которые имитируют нежелательное ПО.") У эти файлы специально созданы, чтобы проверять АВ. Он должен их найти и отработать соответственно угрозе (удалить, вылечить, заблокировать и т.д). Так что очень логично, что то файл который должен быть найден, опознан как конкретный зловред и удален, был найден, опознан как конкретный зловред и удален.
  • A

    @jarvis неверно, проверяю на ложное срабатывание антивирусы и этот тест продукт провалил, так как продектектил пустышку, а не вирус.

  • D

    @angeldragon said in Ложное срабатывание HEUR на пустышки\.:

    @jarvis неверно, проверяю на ложное срабатывание антивирусы и этот тест продукт провалил, так как продектектил пустышку, а не вирус.

    Коллеги просмотрели файлы: 

    file (26).exe - полумалвара, кейлоггер
    file (27).exe - полумалвара, отправляет на сервер злоумышленника запись с микрофона
    file (28).exe - полумалвара, заготовка локера-вымогателя
    file (29).exe - полумалвара, отправляет на сервер злоумышленника список документов пользователя
    file (30).exe - полумалвара, отправляет на сервер злоумышленника видеозапись и снимки экрана
    детекты обоснованы. As designed.
    я не очень понял, почему вы посчитали их "чистыми". 

Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.