Jump to content

Recommended Posts

Доброе утро.

 

Если я понял правильно, предыдущий созданный мною топик (Radmin и KIS, Radmin и KAV, один раз и навсегда) был снесен в подфорум "Пожелания по продуктам Лаборатории Касперского ". Без проблем, там действительно описывалась общая картина. Хотя один конкретный вопрос все же там был. Вы хочете подробностей? Их есть у меня. Причем разозлился я настолько, что буду создавать топики отдельно по всем последним релизным версиям и KAV и KIS. Буду ставить триалки, описывать производимые настройки и спрашивать верные ли они?

 

Сейчас речь пойдет о KIS 8.0.0.506. Буду последовательно постить все вопросы, чтобы не раздувать сообщение и хоть как-то пытаться структурировать вопросы.

Итак, на Windows XP Pro SP3 установлены radmin 2.2 (viewer и server) и KIS 8.0.0.506. В отчетах вижу "Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22".

 

Вопрос №1: надо ли заносить приложения Radmin в доверенные приложения?

 

Что было сделано, но не помогло:

в доверенные приложения добавлены C:\Program Files\Radmin\radmin.exe, C:\Program Files\Radmin\r_server.exe, C:\windows\system32\r_server.exe

добавлены с максимальным уровнем доверия. т.е. галки везде, где только можно.

 

Ни в документации (где Radmin упоминается один раз), ни в базе знаний (а там всего одна статья на весь Radmin применительно к KIS 2009) я не нашел упоминания, что Radmin надо заносить в доверенные приложения. :(

 

Вопрос №2: Если приложения Radmin все же надо заносить в доверенные приложения, то как правильно это делать?

Доступны 3 варианта

1) Не проверять открываемые файлы

2) Не контролировать активность приложения

3) не проверять сетевой трафик

 

Где достаточно поставить галки?

Edited by AdminMike

Share this post


Link to post

Вопрос №3: чтобы в отчетах не появлялось обнаружение, нужно ли использовать маски угроз, а если нужно, то как правильно это делать?

 

Итак маски угроз. Маски угроз заслуживают отдельного сообщения.

 

есть статья http://support.kaspersky.ru/faq/?qid=208636318

Там написано

Информация из статьи применима к следующим продуктам:

Антивирус Касперского (все версии)

Kaspersky Internet Security (все версии)

А ниже написано

Примеры разрешенных масок угроз, вердиктов (для версии 6.0):

И что из этого следует? что для версии 8.0 маски не работают?

 

А документации к KIS 2009 написано. черным по белому

Например, вы часто используете в своей работе программу Remote Administrator. Это система удаленного доступа, позволяющая работать на удаленном компьютере. Такая активность рассматривается приложением как потенциально опасная и может быть заблокирована. Чтобы исключить блокировку приложения, нужно сформировать правило исключения для приложения, распознаваемого, как not-avirus: RemoteAdmin.Win32.RAdmin.22 согласно Вирусной энциклопедии.

Еще ниже написано

РАЗРЕШЕННЫЕ МАСКИ ТИПОВ УГРОЗ

При добавлении в качестве исключения угрозы с определенным статусом по классификации Вирусной

энциклопедии вы можете указать:

• полное имя угрозы, как оно представлено в вирусной энциклопедии на сайте www.viruslist.ru (например,

not-a-virus:RiskWare.RemoteAdmin.RA.311 или Flooder.Win32.Fuxx);

• имя угрозы по маске, например:

• *RemoteAdmin.* - исключать из проверки все версии программы удаленного администрирования.

 

Так нужны ли маски угроз в KIS 2009? А если нужны то какие?

Edited by AdminMike

Share this post


Link to post

Вопрос №4: Если можно использовать и доверенные приложения и маски угроз, то нужно использовать их одновременно или достаточно использовать что-то одно?

 

Вопрос №5: Порт Radmin по умолчанию (4899) открыт в KIS 8.0? Или для его открытия надо сделать следующее:

Настройка -> Параметры -> Сеть -> Контролируемые порты -> Выбрать

Edited by AdminMike

Share this post


Link to post

Вопрос №6: вот в отчетах пишется "Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22". А как понять, приложения при этом блокируется? От каких настроек это заисит и зависит ли вообще?

 

Вопрос №7 Наменеее важный для меня. Но т.к. он часто встречается на форуме, я его задам и напишу свой ответ (чтобы узнать правильный ли он) и чтобы все вопросы были в одном месте.

Вопрос: Как сделать так, чтобы при подключении через Radmin к удаленному компьютеру можно было управлять настройками интерфейса KIS?

Ответ: Настройка -> Параметры -> Самозащита -> Отключить возможность внешнего управления системной службой. Галку снять. Этого достаточно или еще что-то нужно?

Share this post


Link to post

Итог вчерашнего дня: позвонил в техподдержку. В результате удалили мне NDIS фильтр, написали еще одно правило исключения, а тольку 0 :(

Как обнаружитвался not-a-virus:RemoteAdmin.Win32.RAdmin.22 так он и обнаруживается. Техподдержка сказала: "Надо писать запрос". Буду писать, а что еще делать. :(

Share this post


Link to post
Вопрос №1: надо ли заносить приложения Radmin в доверенные приложения?

Нет - это не обязательно.

Другими словами - описанное вами выше добавление в доверенные (в известных мне случаях), как минимум, бесполезно.

 

Достаточно:

-------------------------------

1.) Исключения для сервера v2.x (raddrv.dll & r_server.exe):

 

post-14953-1243254851_thumb.jpg

post-14953-1243254857_thumb.jpg

 

Эти исключения заведомо избыточны - на случай, если есть привычка класть RAdmin где ни попадя под разными именами )

В идеале, лучше конкретизировать хотя бы до имени файлов или, шоб совсем уж отлично : ), до полных путей

(например,

%ProgramFiles%\Radmin\r_server.exe

%ProgramFiles%\Radmin\raddrv.dll

%WinDir%\System32\r_server.exe

%WinDir%\System32\raddrv.dll)

 

К слову, наличие первых двух файлов никак на функциональность Radmin не влияет.

Достаточно

%WinDir%\System32\r_server.exe

%WinDir%\System32\raddrv.dll

 

и, если угодно, трех линков на

%WinDir%\System32\r_server.exe /start

%WinDir%\System32\r_server.exe /stop

%WinDir%\system32\r_server.exe /setup

-------------------------------

 

2.) Если используется автоматизированная установка с подкладываением файла настроек, то +

 

OAS/ODS (RAdmin v*)

*.reg

not-a-virus:RemoteAdmin.Win32.RAdmin.*

 

Эти исключения, опять-таки, заведомо избыточны - на случай, если есть желание подстраховаться против детекта любой push-инсталляции

(определенным образом сформированный reg-файл также детектится Kav как часть Radmin).

Желательно конкретизировать - хотя бы до вида.

 

OAS/ODS (RAdmin v*)

RAdmin22_DomainPush.reg

not-a-virus:RemoteAdmin.Win32.RAdmin.*

 

Еще лучше- до полного пути (можно использовать environment. vars)

-------------------------------

 

3.) Для вьювера:

PDM

{full path to Radmin.exe}

Invader (loader)

 

PDM

{full path to Radmin.exe}

Keylogger

 

Последнее можно проверить на v8 - писал для v6 WKS

исключеня для файлового Av, если правильно помню, не требуются:

сам вьювер не детектится (по крайней мере, вьювер от v3 с цифровой подписью)

Edited by fp_post

Share this post


Link to post
Вопрос №3: чтобы в отчетах не появлялось обнаружение, нужно ли использовать маски угроз, а если нужно, то как правильно это делать?

...

Можно использовать маски.

Для чего:

для того, чтобы Kav/Kis игнорировал в конкретном файле (или в группе файлов, заданных файловой маской) конкретную же угрозу.

я использую "общую маску" [not-a-virus:RemoteAdmin.Win32.RAdmin.*]

Работающие примеры - выше.

 

есть статья http://support.kaspersky.ru/faq/?qid=208636318

 

...

И что из этого следует? что для версии 8.0 маски не работают?

Согласен.

Но значит это только то, что не поправили строчку в статье Kb.

Share this post


Link to post
Вопрос №4: Если можно использовать и доверенные приложения и маски угроз, то нужно использовать их одновременно или достаточно использовать что-то одно?

Исключения предназначены для "точечной" процедуры "игнорируй это" )

Т.е.:

если в файле [A] найдена "угроза" "B", то игнорировать её.

И только её.

И только в этом файле.

Файл [A] при этом все равно будет проверен, "B" найден, но пользователю, как это сказано настройками, об этом сообщаться не будет:

не будет ни алерта, ни манипуляций (вылечить/удалить и т.п.) с файлом.

 

Назначение доверенных - более широкое.

И, вместо "игнорируй это", заключается в "не проверяй это. вообще"

Использовать их нужно тогда и только тогда, когда исключения не достигают цели.

 

Например,

для 1c можно задать исключение OAS вида "не трогать файлы [C:\1C\*.*]":

post-14953-1243257952_thumb.jpg

 

Чего этим достигнем:

- любой детект любой угрозы в папе [C:\1C\*.*] будет подавляться: не будет ни алертов, ничего.

 

Почему это неправильно:

- можно положить в эту папку любое свое файло, включая малвару - и детекта не будет. Антивирусу сказано "не рапортовать", он и не будет.

 

Если же задать доверенное для 1C с флагом "Не проверять открываемые файлы",

то не будут проверяться файлы, которые открывает именно 1c.exe.

(Хотя, если подумать, малвару можно будет принудительно стартануть, вызвав любой диалог открытия файла из 1c. Но эти тонкости и изврат замнем для ясности : )

 

 

В чем еще отличие исключений от доверенных на примере FileAv (OAS):

- при задании имени угрозы (т.е. ставим флаг "Тип угрозы" и указываем что угодно, включая *) в исключениях происходит проверка файла (ведь нужно проверить его на наличие других заражений, например, заражение файловым вирусом);

- пр помещении в доверенные с флагом "Не проверять открываемые файлы" файлы вообще не будут передаваться сканирующему движку.

Это тоже неполохо бы иметь в виду.

 

Вопрос №5: Порт Radmin по умолчанию (4899) открыт в KIS 8.0? Или для его открытия надо сделать следующее:

Настройка -> Параметры -> Сеть -> Контролируемые порты -> Выбрать

Доступность порта, в общем случае определяется только правилами firewall-а.

В списке "Контролируемые порты" указаны порты, трафик по которым будет перехватываться, известные протоколы парситься и результаты передаваться для проверки WebAv.

Radmin в этом списке указывать не нужно.

Edited by fp_post

Share this post


Link to post
Вопрос №6: вот в отчетах пишется "Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22". А как понять, приложения при этом блокируется? От каких настроек это заисит и зависит ли вообще?

Действие, при автоматическом режиме (или при выборе реакции "Лечить, неизлечимые удалять"/ "Удалять") указано в "Отчетах":

post-14953-1243263200_thumb.jpg

 

и в "Обнаружено":

post-14953-1243263237_thumb.jpg

 

 

Если выбран интерактивный режим (и реакция FileAv установлена в "запросить"), то в "Обнаружено" не указывается, что сказал пользователь, - тут вы правы:

post-14953-1243263781_thumb.jpg

 

Выбор пользователя указан только в "Отчетах":

post-14953-1243263817_thumb.jpg

 

Вопрос №7 Наменеее важный для меня. Но т.к. он часто встречается на форуме, я его задам и напишу свой ответ (чтобы узнать правильный ли он) и чтобы все вопросы были в одном месте.

Вопрос: Как сделать так, чтобы при подключении через Radmin к удаленному компьютеру можно было управлять настройками интерфейса KIS?

Ответ: Настройка -> Параметры -> Самозащита -> Отключить возможность внешнего управления системной службой. Галку снять. Этого достаточно или еще что-то нужно?

Вот этого для v8 не проверял.

А рецепт пропатченной 6-ки (Kb ID 1313) для v8 не работает?

 

------------------------

З.Ы.

Пора переименовывать топик во "Все, что вы хотели узнать об исключении RAdmin-а, а Mike не постеснялся спросить" : )

Edited by fp_post

Share this post


Link to post
... Я считаю, что нет необходимости добавлять еще и конкретные файлы в исключения.

среди разных товарисчей была практика впаривать автоустановку Radmin и прочих.

Отсюда и непонятный ("зачем reg файл-то детектит"), на первый взгляд, детект *.reg файла с настройками Radmin.

Исходя из подобных случаев, исключения , imho, все-таки стОит конкретизировать. И вообще, и в применении к данной ситуации.

Edited by fp_post

Share this post


Link to post
Если прописать в исключениях конкретную версию радмина, то и в этом случае вы считаете необходимым прописывать пути к файлам? Или ваш совет относится только к конкретному случаю...

 

Хотя, может быть, вы и правы Я-то работаю без админских прав - меня эти "товарисчи" - не пугают.

да я не спорю насчет лишения прав : ) - imho, абсолютно резонный шаг.

 

Да, в таких условиях можно и без путей, хотя я бы и прописал имена/пути.

Т.к.под маску детекта [*.Tool.Version] попадают иной раз близкие (и не очень) версии одной тузлы или вообще ее клоны.

 

Но речь шла

- о домашнем Kav, а дома почти все сидят под админом

- и, в принципе, о настройках исключений "вообще". А насчет "вообще" - я и говорил ТС, что чем "меньше/уже" всяческие "исключения", тем меньше, imho, геморроя в итоге.

Edited by fp_post

Share this post


Link to post
Нет - это не обязательно. Другими словами - описанное вами выше добавление в доверенные (в известных мне случаях), как минимум, бесполезно.

 

Достаточно:

-------------------------------

1.) Исключения для сервера v2.x (raddrv.dll & r_server.exe):

Эти исключения заведомо избыточны - на случай, если есть привычка класть RAdmin где ни попадя под разными именами )

Достаточно

%WinDir%\System32\r_server.exe

%WinDir%\System32\raddrv.dll

Очень интересно. Вот по этому сообщению появилось вопрос: а причем тут raddrv.dll? В отчетах есть срабатывание только на r_server.exe

Моей первой ошибкой на самом начальном этапе было то, что вообще не указывал объект, а указывал только угрозу. Но затем я исправился.

Итак, сейчас я из доверенных приложений все удалил и внес в исключения

%WinDir%\System32\r_server.exe с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

%WinDir%\System32\raddrv.dll с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

Запускаю сервер и вижу снова :(

 

25.05.2009 23:01:02 Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22 Проводник C:\WINDOWS\system32\r_server.exe/RadPack Информация

Смущает меня эта добавка /RadPack. Сейчас буду дальше смотреть.

Edited by AdminMike

Share this post


Link to post
Вы уверены, что это была ошибка? :blink:
Думаю, да. Ибо думаю, что мало прописать угрозу, а надо сказать на каком объекте она будет применяться. Т.е. невключение объекта в правило врядли означает любой объект.

Share this post


Link to post

Значится так:

1) правило %WinDir%\System32\raddrv.dll с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22 не нужно.

2) правило для вьювера:

С:\Program Files\Radmin\radmin.exe/RadPack с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

системной переменной %ProgramFiles% среды окружения похоже не существует. Ее создавать надо.

 

Главный вывод: меньше надо умничать (это я про себя говорю). Ведь в отчетах пишется, в каком объекте идет обнаружение. Вот его и надо вносить в правило. Полностью.

Share this post


Link to post
Уважаемый AdminMike, я очень разочарован.

Взгляните, пожалуйста, на скриншот из сообщения #10 чуть-чуть внимательнее.

Как вы думаете, что означает объект * (звездочка)?

Ближе к ночи голова вообще пререстает соображать. Согласен. Уже стал забывать, что когда не выбирался объект, то там писалась звездочка. Тогда я вообще перестал что-то понимать. У меня после снятия выбора объекта происходит один раз срабатывание обнаружения, а потом обнаружение перестает детектится.

Share this post


Link to post

По поводу этого однократного детекта.

Было 2 правила

1) * с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

2) С:\Program Files\Radmin\radmin.exe/RadPack с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

при таких правилах ничего не детектилось.

Я решил удалить второе правило. Оно ведь лишнее, т.к. первое правило шире. Запустил сервер, в отчетах появилось "Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22 Проводник C:\WINDOWS\system32\r_server.exe/RadPack". Но больше оно не появляется при повторных запусках сервера. Что это может быть?

Share this post


Link to post
Очень интересно. Вот по этому сообщению появилось вопрос: а причем тут raddrv.dll? В отчетах есть срабатывание только на r_server.exe

Моей первой ошибкой на самом начальном этапе было то, что вообще не указывал объект...

....

 

Значится так:

1) правило %WinDir%\System32\raddrv.dll с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22 не нужно.

...

Правило для raddrv.dll для известных мне v2.x указывать нужно:

post-14953-1243321624_thumb.jpg

 

post-14953-1243321609_thumb.jpg

 

post-14953-1243321618_thumb.jpg

 

Virustotal:

raddrv.dll

r_server.exe

 

возможно, возникли недоразумения из-за этой багофичи

 

...

Итак, сейчас я из доверенных приложений все удалил и внес в исключения

%WinDir%\System32\r_server.exe с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

%WinDir%\System32\raddrv.dll с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

Запускаю сервер и вижу снова :(

 

25.05.2009 23:01:02 Обнаружено: not-a-virus:RemoteAdmin.Win32.RAdmin.22 Проводник C:\WINDOWS\system32\r_server.exe/RadPack Информация

Да не может такого быть : )

Какая задача дает такой отчет?

OAS, проверка стартапов, проверка по правому клику?

 

Для каких компонентов исключения? Должно быть OAS/ODS.

 

 

...

Смущает меня эта добавка /RadPack. Сейчас буду дальше смотреть.

Это, видимо, обозначение модификации PE (грубо говоря, пакер), не фиксируйтесь : )

В исключении часть "/RadPack" и т.п. указывать не нужно

 

...

2) правило для вьювера:

С:\Program Files\Radmin\radmin.exe/RadPack с угрозой not-a-virus:RemoteAdmin.Win32.RAdmin.22

ok

 

системной переменной %ProgramFiles% среды окружения похоже не существует. Ее создавать надо.

Системная переменная существует:

Пуск -> Выполнить -> cmd.exe -> Echo %ProgramFiles%

 

Главный вывод: меньше надо умничать (это я про себя говорю). Ведь в отчетах пишется, в каком объекте идет обнаружение. Вот его и надо вносить в правило. Полностью.

тоже вариант : )

Edited by fp_post

Share this post


Link to post
Может быть, проблема именно в этом пакере? То есть детектится не радмин, а пакер?

Да нет:

RadPack - сокращение от Radmin Pack..

Это лучше подскажут специалисты, но, imho, это и не пакер вовсе, а ~ единичаня модификация структуры исполняемых файлов Radmin и в Grey-листах и т.п. его нет.

 

А исключения указываем правильно.

Вот исключения, созданные автоматом из алерта - то, что, идет после .exe, указывать не требуется:

post-14953-1243325574_thumb.jpg

Share this post


Link to post
Да не может такого быть : )

Какая задача дает такой отчет?

OAS, проверка стартапов, проверка по правому клику?

Это пишет файловый монитор (название пишу по памяти) при запуске сервера. Я могу сделать видео, где это будет видно.

Share this post


Link to post
Это пишет файловый монитор (название пишу по памяти) при запуске сервера. Я могу сделать видео, где это будет видно.

ok - давайте уже решим это:

 

1.) видео или скриншот алерта и отчетов, где указана задача, эта срабатывание инициировавшая

 

См.

здесь:

post-14953-1243338198_thumb.jpg

 

и здесь:

post-14953-1243338220_thumb.jpg

 

2.) Скриншоты исключений: все, что касается Radmin-а - прям пооконно

Пример:

post-14953-1243338750_thumb.jpg

 

 

3.) Скриншоты доверенных, касающиеся Radmin (если они остались) - пооконно.

Edited by fp_post

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.