Jump to content

WhiteH@cK

Members
  • Content Count

    3
  • Joined

  • Last visited

About WhiteH@cK

  • Rank
    Candidate
  1. Согласен, не проверил это сразу, виноват, каюсь. Верно, Вы хотите сказать что Hash файла проверяется в процессе первого запуска, я конечно сильно в этом сомневаюсь, хотя бы потому что обновления выходят постоянно, и вряд ли каспер хранит в базах у себя все хеши пусть даже только официального софта. А это уже с какой стороны посмотреть, например с Вашей точки зрения возможно вредоносные файлы это именно вирусы, трояны, черви, боты, и тп., но с точки зрения обычного пользователя, файл который заполоняет после запуска все кругом рекламными ярлычками, файлами, картинками, плагинами в браузерах и тп., создает в планировщике задач - задания на запуск браузера и переход по ссылке (пусть даже рекламной а не вредоносной) каждые 10-30 минут, как раз таки так же будет считаться файлом вредителем, пусть даже мы с Вами понимаем что вред между рекламным инсталлятором и трояном имеет значительную разницу, и что после рекламного инсталла все можно почистить самостоятельно вручную, но для обычного пользователя и то и другое наносит вред, и не должно быть просто так пропущено Антивирусом, тем более не каким то там, а входящим в десяток мировых лидеров на рынке антивирусного ПО! В том то и дело что они были включены, в этом то и парадокс. В общем эту дискуссию можно разводить еще на много много страниц текста, я лишь хочу акцентрировать Ваше внимание, как представителей, на то что не помешало бы блокировать дальнейший запуск и выполнение каких либо действий всех программ, который антивирус посчитал подозрительными или "рекламными", и выводить пользователю по мимо уведомления еще и окно выбора дальнейших действий, а то как я уже ранее говорил, пропускать без вопросов рекламные программы это не дело, получается что можно создать простейший файл-распаковщик, засерающий все свободное пространство жестких дисков, встроенных накопителей, подключенных накопителей и расшаренных сетевых ресурсов рекламными (как вы говорите безобидными) файликами и ярлычками, и подвесить его на различные сайты в банерах, или же на торрентах и файлообменниках под видом полезного ПО, посмотрим как быстро Вы добавите такую "not-a-virus, возможно реклама" программу в свою базу как ВИРУС, ведь по сути между первым и вторым случаем разница только в количестве дерьма вылившегося на ПК, не так ли? PS: конечно же с распаковщиком я преувеличил, но мысль я думаю Вы мою поняли.
  2. Как я полагаю, безобидным должен считаться тот обновлятор, даже если он действительно таковым является, который имеет как минимум авторство (что тоже конечно ни о чем не говорит по части вредоносов), и подпись, а то получается что какой то файл с похожей сигнатурой, назвавшейся должным образом должен быть добавлен в доверенный список? Вы же сами видите по скриншоту что файл по сути и с точки зрения Антивирусной проверки имеет сходство с реальным апдейтером MailRu только в названии, у него даже иконки нет, ну максимум похожая сигнатура, вряд ли бы тогда Каспер его просто так залупил в доверенный список, или я в чем то ошибаюсь, и все гораздо печальней? Да, так и должно быть, и это правильно с точки зрения безопасности, именно об этом я и говорю, что проверяться это всеровно должно в любому случае, и пусть даже этот файл действительно легальный и не несет в себе никакого лишнего функционала, но при этом имеет не проверенную подпись, то он ВСЕРОВНО ДОЛЖЕН БЫТЬ "not-a-virus с ограничениями", а уж никак не в доверенный список автоматом, и запрос пользователю нужно как в старых версиях Каспера выводить, разрешить дальнейшие действия программе или же запретить, что бы как минимум снимать с себя ответственность за действия пользователя, если он разрешит работу вредоносу!, из этого следует вопрос, где сейчас этот функционал в Каспере, за каким простите...., его убрали?
  3. Допустим..., но почему тогда при запуске файла сертификат так же не всегда играет роль при добавлении вредоноса в доверенный список?, ответьте пожалуйста! Замечал и раньше у Антивируса Касперского (тестировались версии KIS / KTS) различные недостатки в проверках, в том числе и на уровне эвристического анализа, но то что случилось сегодня меня просто мягко говоря повергло в уныние! Прилетела мне сегодня от знакомого ссылка, на якобы ZIP архив, забегая вперед скажу что конечно же исполняемый файл оказался вовсе не архивом, а обычным рекламным трояном, с добавлением всякой нечести на рабочий стол, в панели задач, меню пуск, с изменениями настроек браузера и тп., по части всяческих Майл.ру агентов, спутников, служб, поисковых надстроек браузера и прочей рекламы. Конечно же стоило проверить файл так как я делал это раньше, через песочницу эмулятора, с последующим дебагом и анализом последовательных действий, но почему то в этот раз я решил этого не делать, положился полностью на Каспера :dash1: очередной урок для себя самого! В общем и целом при запуске наблюдал как KTS только и успел что показать мне уведомление о том что данный исполняемый файл не является вирусом, и возможно является рекламной программой, после долгих и продолжительных матов в адрес KTS, я все же взял себя в руки и занялся ручной очисткой системы от наволившегося на нее дерьма, так же я поковырялся в KTS и обнаружил интересную особенность, ниже приведу скриншот из KTS на котором у меня возник ряд вопросов: PS: нет, ну я понимаю конечно что возможно исполняемый файл либо самописный либо модифицированный, и по этому не указан не производитель, не цифровая подпись, это относится ко всем сторонним файлам такого типа, и естественно подозревать все подобные файлы как вирусные антивирус не должен, но почему тогда он попал в список доверенных автоматически, ведь такие файлы как и в старых версиях Антивируса Касперского должны как минимум получать ограничения и блокироваться с дальнейшим запросом действий от пользователя, разве не так?, по крайней мере раньше такие "неизвестные" файлы каспер считал подозрительными, почему же сейчас он автоматически им начал вдруг доверять и по одной только информации из KSN давать ему необходимые разрешения?, почему уже наконец не внесут рекламные программы в список недоверенных, сколько можно ловить эту пакость пусть даже при дефолтных настройках Касперского? :angry: А то какой то каламбур получается, TeamViewer указанный на предыдущем скриншоте добавляется в список с ограничениями, а рекламные трояны сразу попадают в доверенные?!
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.