8. Ложное срабатывание HEUR на пустышки.

#3971 Ложное срабатывание HEUR на пустышки.

  • Reopened

    A
    , last edited by Jarvis

    Шаги воспроизведения:

    Скачать и установить русскую версию  Kaspersky Security Plus

    Активировать.

    Скачать пустышки, которые имитируют нежелательное ПО.

    Актуальный результат:

    Антивирус удаляет пустышки, которые ничего вредосного не делают и системой все нормально.

    Ожидаемый результат:

    Антивирус ничего делать не будет, так как файлы пустышки.

    System Settings

    Operating system: Win 10, x64

    System: i5-8300H, 16 ГБ, 60 ГБ

    Product: PLUS

    Product Version: 21.5.11.367

    Language: ru-RU

    Product Logs: https://cloud.qainfo.ru/s/l0AIcz0ZTGx1bM5

  • D

    @angeldragon said in Ложное срабатывание HEUR на пустышки\.:

    @jarvis неверно, проверяю на ложное срабатывание антивирусы и этот тест продукт провалил, так как продектектил пустышку, а не вирус.

    Коллеги просмотрели файлы: 

    file (26).exe - полумалвара, кейлоггер
    file (27).exe - полумалвара, отправляет на сервер злоумышленника запись с микрофона
    file (28).exe - полумалвара, заготовка локера-вымогателя
    file (29).exe - полумалвара, отправляет на сервер злоумышленника список документов пользователя
    file (30).exe - полумалвара, отправляет на сервер злоумышленника видеозапись и снимки экрана
    детекты обоснованы. As designed.
    я не очень понял, почему вы посчитали их "чистыми". 
  • A

    @jarvis неверно, проверяю на ложное срабатывание антивирусы и этот тест продукт провалил, так как продектектил пустышку, а не вирус.

  • Если я вас верно понял, вы используете файл который имеет явный признак зловреда ("Скачать пустышки, которые имитируют нежелательное ПО.") У эти файлы специально созданы, чтобы проверять АВ. Он должен их найти и отработать соответственно угрозе (удалить, вылечить, заблокировать и т.д). Так что очень логично, что то файл который должен быть найден, опознан как конкретный зловред и удален, был найден, опознан как конкретный зловред и удален.
  • A

    @jarvis добрый вечер,  в том то и дело, что тут явных признаков зловреда нет, то есть ложный детект - некорректная работа эвристического анализатора.

  • Добрый день! Детект есть детект. Не важно пустышка это или реальный зловред. Суть приложения в том чтобы удалять/блокировать/лечить все что имеет явные признаки зловреда. Коллеги из отдела АВ говорят, что ни о каких доработках в этом плане речи быть не может. Если говорить об АВ, то багом тут будет удаление действительно "чистого файла" например известного медиаплеера или игры.

Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.