YARA-проверка ошибка запуска

kilo2

KES 12.9.0.128 Windows 10 22H2

1. Скачиваем готовое yara-правило https://github.com/Yara-Rules/rules/blob/master/malware/MALW_IcedID.yar
2. Размещаем его в папке C:\yara
3. Запускаем YARA-проверку командой:

avp.com SCANYARA C:\yara\MALW_IcedID.yar /SCANFOLDERS C:\Windows\ /RECURSIVE

В результате получаем ошибку: Error: Command failed

Трассировки: https://cloud.qainfo.ru/index.php/s/DgEZtN2YLL8ig0R (пароль: 1)

kilo2

Актуально и на KES 12.9.0.158

Dmitriy.Pisarets

@kilo2 said in YARA-проверка ошибка запуска:

Актуально и на KES 12.9.0.158

Добрый день! Как я понял меняется синтаксис сейчас
вот такое должно сработать (может быть на следующей версии, если не на этой)

avp.com YARA C:\yara\MALW_IcedID.yar /SCANFOLDERS=C:\Windows\ /RECURSIVE=on

kilo2

@Dmitriy.Pisarets добрый день.
Проверил на сборке KES 12.9.0.212 по прежнему не работает и с изменим синтаксисом
Трассировки: https://cloud.qainfo.ru/index.php/s/fpguT0gNez5CPev (пароль: 1)