Jump to content

Rikimaru

Members
  • Content Count

    77
  • Joined

  • Last visited

1 Follower

About Rikimaru

  • Rank
    Candidate
  1. Ответ дан в инциденте. См. последний ответ. Цитирую: В случае, если компьютер был выключен корректно, информация о корректном завершении работы была передана агентом Серверу администрирования. В таком случае статус "ОК" сохраняется, только значок меняется на такой как был, но с добавлением крестика. То есть просто показывает, что компьютер выключен. Статус "Предупреждение" и "Критический" при выполнении условия "Давно не подключался", относится только если пропала связь с клиентом по какой-либо причине. Например потеряна связь с клиентом или было некорректное завершение работы. Получается нет смысла считать, что статус компьютера стал критичным, если он просто был выключен.
  2. Всем привет! Ответил в инциденте, к какому итогу пришли в ходе разбора кейса INC000003493423. 1. Логи показывают, что продукт поместил как предусматривает логика. 2. В логике не было заложено выдача вердикта untrusted в случае наличия сигнатуры. 3. Завели issue 973446 на исправление. К сожалению, сроками не обладаем.
  3. Договорились. Как выясню логику, отпишусь. Результата два: - неверное определение. Пойдет на исправление. - все работает как призывает заданная логика. Будем заводить Feature Request. Пока вижу только второй вариант. Для первого подойдут логи и сэмпл. Для второго сценарий воспроизведения, он есть и он простой. В инциденте пока ничего отписывать не буду. Оффициальный ответ когда будет, отпишем в инциденте, тут продублируем. Сразу хочу предупредить - процесс не быстрый. Но затягивать не будем, так как шифровальщики чувствительная тема. P.S. Будут какие предложения или вопросы, задавайте.
  4. Вижу, потихоньку выстраиваем логическую цепочку. Теперь окончально вопрос понятен. В вашего разрешения, рассматривать вариант что будет если все навернется, а останется только контроль активности программ (как пример), мы рассмотрим позже. Предлагаю разобраться, подключив нужных специалистов по архитектуре компонента, с вопросом, почему контроль активности программ показывая сигнатуру не учитывает помещение в группы. Например не помещает сразу в сильные ограничения. Если все согласны, узнаю подробности - сообщу.
  5. Честно, не совсем понятен вопрос. Файловый Антивирус работает как сигнатурно, так и эвристически. Мониторинг системы это проактивная защита по факту. Все компоненты взаимосвязаны, в частности, мониторинг системы по умолчанию хранит историю активности программ, которую в своей работе используют компоненты Контроль активности программ, Файловый Антивирус, Сетевой экран и задачи проверки. На самом деле не стоит рассматривать отдельно используемый компонент в подобных случаях. Тем более когда точно механизм поведенческого анализа не известен. Вопрос по обсуждаемой теме становится более понятным со временем вникания, что в итоге нужно . Не хотелось бы отвечать односложно, например: "Так решил контроль активности программ, его действия не обсуждаются".
  6. Ответ дан в инциденте. Вы можете его полностью скопировать в данной теме. Уважаемый oit, все статьи на сайте технической поддержки читаем. Часто и внимательно. В указанной в инциденте статье - http://support.kaspersky.ru/10905#block4, явно указано, что: Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры Kaspersky Endpoint Security 10 для Windows. Далее описывается процесс настройки категорий именно для помещения в группы с сильными и слабыми ограничениями. У уважаемого пользователя DWState, именно такой вариант определения вредоносного ПО - группа со слабыми ограничениями. Бояться, при настройках из статьи, не стоит. Повторюсь в обсуждаемой ветке форума, указанная сигнатура Trojan-Dropper.Win32.Injector.jhxv не используется для определения группы. Сигнатура используется для Антивирусной части продукта. Для определения же группы используется сигнатурный анализатор в которых входит поведенческий анализ. Также повторюсь, если в данной теме рассматривается вопрос только определения конкретного ПО конкретно контролем активности программ, а не противодействие шифровальщикам, рассказывать о том, что защита должна быть комплексной и полноценной, я не буду. Будут вопросы, задавайте.
  7. На KSC 10 MR1 Beta 10.1.225 - все нормально. Выборка созданная по описанию создается корректно.
  8. Kaspersky Internet Security 2014 - http://support.kaspersky.ru/kis2014
  9. Попробуйте в свойствах обсуждаемого хоста, на вкладке "Общие" поставить галочку "Не разрывать соединени с Сервером администрирования". После чего подождать не менее 15 минут (чтобы наверняка прошла синхронизация). После этого появится возможность управлять задачами?
  10. Вам результат нужен? Или вы хотите понять истину детекта? Для начала лучше отправить образцы в вирлаб и получить ответ. А дальше уже можно рассуждать и пробовать.
  11. И все возвращается на круги своя!!! Прямая дорога в вирлаб)))
  12. Если в инфраструтуре много подсетей и админ не уверен, что все гладко с маршрутизацией, лучше будет назначать агентов обновлений самостоятельно вручную. Тем самым в будущем упростив себе задачу, если необходимо определить для какого компьютера/группы какой назначен агент администрирования. И на все времена успросив задачу в распространении обновлений, патчей и в принципе дистрибутивов для установки. Но вот только какой смысл на такое количество скопом накатывать?
  13. Предсказать все возможные варианты скриптов, как вы понимаете, не возможно. PDM'ка видать решила, что деятельность скрипта подозрительна. Может попробовать в разделе "проактивная защита" Мониторинга системы, в действиях при обнаружении вредоносной активности программы выбрать "Выбирать действия автоматически". Вдруг касаемо ваших скриптов отработает как надо, не помещая в карантин? Или вы уже пробовали менять настройки? Если да, опишите хотя бы, что уже делали.
  14. Укажите для начала количество хостов в организации. И сколько планируется развернуть при этом Серверов администрирования? Тот же самый вопрос.
  15. Это не вирус. Это просто сработала PDM'ка. Другими словами компонент Мониторинг системы. Мнительный он :bm: Вариантов два, добавление исключений, либо отправить в вирлаб со скринами детекта, чтобы добавили в белый список.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.