Jump to content
Sign in to follow this  
goliafz

KIS 2014 - Trojan-Ransom.Win32.PornoAsset.cjid

Recommended Posts

Я даже видео смотреть не буду, поскольку не особенно доверяю тестам cossm.ru.

Мне вполне достаточно того, что многие "программки", при установке с cossm.ru в нагрузку предлагают всякие бесплатные супер-бонусы ( тот же Google Chrom в Avast). А этого я терпеть не могу smile.gif .

Тест проводил ВиталеГ, выложил в комментарии на комсс.

Кстати, программы на комсс имеют официальный источник для скачивания (официальный сервер).

Share this post


Link to post

Мой тест с Eicar не засчитывается. У меня х64. Eicar под ним не запускается. Ошибку выдает. Ориентировался на то, что после перезагрузки вылезет точно такая же ошибка и таким образом я пойму, что вирус запустился.

Share this post


Link to post
Только что скачал EICAR с официального сайта. Закинул в автозагрузку и перезагрузился.

А между тем это уже ключевой момент.

 

1) Как Вы его исхитрились скачать?

2) Как Вы его исхитрились копировать с каталога в другой каталог?

при работающем антивирусе?

 

Все что дальше - в реальных (не лабораторных) условиях интереса не представляет.

Edited by Maratka

Share this post


Link to post
А между тем это уже ключевой момент.

 

1) Как Вы его исхитрились скачать?

2) Как Вы его исхитрились копировать с каталога в другой каталог?

при работающем антивирусе?

 

Все что дальше - в реальных (не лабораторных) условиях интереса не представляет.

Как это не представляет интереса? Если есть защита, то она должна функционировать и предотвращать любой возможный запуск зловредов.

 

Предположим, что в базах КИС нет какого-то зловреда. Спокойно скачался, положился в автозагрузку. А дальше после перезагрузки запустился. Такой вариант разве не возможен?

 

Share this post


Link to post

Вполне. Но ели его нет в базах, то почему КИС должен препятствовать его запуску? А ели он есть в базах, то как попадёт в автозагрузку при включённом антивирусе? ;)

Share this post


Link to post
Тест проводил ВиталеГ, выложил в комментарии на комсс.

Кстати, программы на комсс имеют официальный источник для скачивания (официальный сервер).

Это не единственная причина моего "недоверия".

Согласитесь, не добропорядочно предоставлять "пакеты обновления". Поскольку каждый пользователь лицензионного продукта автоматически обновляется с официального сайта того продукта, который у него установлен. Хотя бы поэтому - с какой такой радости мне доверять cossm.ru , а уж тем более - уважать мнение и результаты "тестов"? B)

Share this post


Link to post
Предположим, что в базах КИС нет какого-то зловреда. Спокойно скачался, положился в автозагрузку. А дальше после перезагрузки запустился. Такой вариант разве не возможен?

Честно сказать мне нужно изрядно напрячь фантазию, чтобы приставить себе зловред, который будет прописываться в автозагрузку, дабы автоматически запускаться, но не будет запускаться сразу.

Любая современная малвара работает по принципу "дают - бери", и ждать, покудова пользователь надумает перезапустить компьютер не будет.

Edited by Maratka

Share this post


Link to post

Вопрос стоял вообще в другом.

 

Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

 

Каким образом создавалась данная ситуация - это дело десятое. В любом случае похожая ситуация может случиться в реальности. Защиты оказывается от этого нет.

 

PS: мне же выше писали, что ни один антивирус не умеет такое делать. Оказывается умеет. И наверняка не один. Почему КИС этого не умеет?

Edited by goliafz

Share this post


Link to post
Вопрос стоял вообще в другом.

 

Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

 

Каким образом создавалась данная ситуация - это дело десятое. В любом случае похожая ситуация может случиться в реальности. Защиты оказывается от этого нет.

 

PS: мне же выше писали, что ни один антивирус не умеет такое делать. Оказывается умеет. И наверняка не один. Почему КИС этого не умеет?

А вот и нет. Каким образом заразить - это дело первое.

 

А так можно АВ отключить, заразить MBR и потом удивлятся, почему абсолютное большенство АВ его даже не видят ...

Share this post


Link to post
Вопрос стоял вообще в другом.

 

Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

Потому что в этом нет необходимости: вредоносная программа может попасть в автозагрузку только с согласия (прямого или косвенного) пользователя.

Share this post


Link to post
Вопрос стоял вообще в другом.

 

Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

А как вирус попадет в автозагрузку? ;)

Share this post


Link to post
Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

 

А как вирус попадет в автозагрузку? ;)

 

Каким образом заразить - это дело первое.

 

вредоносная программа может попасть в автозагрузку только с согласия (прямого или косвенного) пользователя.

 

Интересно на видео заразы в автозагрузку перемещают ))), КИС приходится отключать защиту, а у NOD просто разрешить действие в запросе. ))) КИС настолько суровый, что не позволит проникнуть заражению, а это лучше, чем последующее лечение.

 

 

Share this post


Link to post
Вопрос стоял вообще в другом.

 

Почему КИС не в состоянии заблокировать запуск вредоносной программы из автозагрузки при загрузке ОС?

 

Каким образом создавалась данная ситуация - это дело десятое. В любом случае похожая ситуация может случиться в реальности. Защиты оказывается от этого нет.

 

PS: мне же выше писали, что ни один антивирус не умеет такое делать. Оказывается умеет. И наверняка не один. Почему КИС этого не умеет?

 

Перетестировал, но подождал 5 минут на экране входа в систему (ввода логина и пароля) - KIS заблокировал EICAR... т.е. видимо драйвер не успевает до конца загрузится...

Мой скрипт в 14ом сообщении темы. http://forum.kaspersky.com/index.php?s=&am...t&p=2115200

Хороший пример как вирус может запустится, скрипт антивирусом недетектируется, отключать его не надо. При запуске скрипт создаёт EICAR и пытается его запустить. Но, как я сейчас выяснил на быстром компьютере может и не воспроизводится...

 

PS. Могу переписать скрипт, чтобы он добавлял себя в автозагрузку, но это ИМХО лишнее...

Edited by WhKitten

Share this post


Link to post
Мой тест с Eicar не засчитывается. У меня х64. Eicar под ним не запускается. Ошибку выдает. Ориентировался на то, что после перезагрузки вылезет точно такая же ошибка и таким образом я пойму, что вирус запустился.

Если не вылезла, значит не запустился. :-) У меня вылезала, видимо компьютер послабее.

Share this post


Link to post
PS. Могу переписать скрипт, чтобы он добавлял себя в автозагрузку, но это ИМХО лишнее...

Не лишнее, а первостепенное. :)

 

Перепишите, так чтобы он

"Самодобавлялся" в автозагрузку в обход

а) ПДМ

б) ХИПС

Share this post


Link to post

В предварительно настроенном на "запрет"

Либо в ручном, где пользователь отвечает "низзя".

Либо мы говорим не про "безопасность", а про "непойми что" :)

Share this post


Link to post
В предварительно настроенном на "запрет"

Либо в ручном, где пользователь отвечает "низзя".

Либо мы говорим не про "безопасность", а про "непойми что" :)

Собственно у меня так и настроинно. Ответ предназначен для WhKitten

Share this post


Link to post
В предварительно настроенном на "запрет"

Либо в ручном, где пользователь отвечает "низзя".

Либо мы говорим не про "безопасность", а про "непойми что" :)

Не, ну это не Use Case. Давайте с "безопасными" настройками по умолчанию. А тут у некоторых вообще только KAV, какой у них HIPS?

@echo off
echo Antivirus Startup Protection Test Script
set KEY_AUTORUN="HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
set VIRUS_NAME="AVTest Eicar Virus Startup Script"
set VIRUS_EXE="%TEMP%\%~n0.exe"
set VIRUS_LOG="%TEMP%\%~n0.log"

if "%1"=="StartEicar" goto :start_eicar

echo  * removing file from autostart
reg delete %KEY_AUTORUN% /v %VIRUS_NAME% /f
echo  * adding file to autostart
pause
reg add %KEY_AUTORUN% /v %VIRUS_NAME% /t REG_SZ /d "\"%~0\" StartEicar" /f 
echo  * rebooting computer
pause
shutdown -r -f -t 0
goto :eof



:start_eicar
echo   * unpacking virus
echo X5O^!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE%
echo   * starting virus
%VIRUS_EXE%
echo ******************************************************************************
echo ERRORLEVEL: %errorlevel% (0 means virus execution)
if errorlevel 216 goto :fail
if errorlevel 1 goto :pass
goto :fail
goto :eof



:pass
echo GOOD ANTIVIRUS PASS THE TEST!
pause
goto :eof



:fail
echo VERY BAD, ANTIVIRUS FAIL THE TEST!
pause
goto :eof

 

Забыл добавить удаление вируса. Этот скрипт вирус не удаляет - удалять надо вручную AVTest.exe из %TEMP% или дождаться когда антивирус загрузиться и удалит. Или командой del %Temp%\AVTest.exe чтобы удалить из автозагрузки надо запустить скрипт и закрыть окно

AVTest.7z

Edited by WhKitten

Share this post


Link to post
Не, ну это не Use Case. Давайте с "безопасными" настройками по умолчанию. А тут у некоторых вообще только KAV, какой у них HIPS?

С "безопасными" настройками по умолчанию, которые рекомендуется установить в 2014 Ваш скрипт просто не запустится. :)

Что до КАВ, то купившие лицензию на него четко и ясно представляют себе, что покупают сигнатурный продукт без дополнительной обвязки, помогающей блокировать "неизвестное".

Share this post


Link to post
С "безопасными" настройками по умолчанию, которые рекомендуется установить в 2014 Ваш скрипт просто не запустится. :)

Пользователь скачал файл с Интернета, запустил и в диалоге антивируса на запуск он непременно нажмёт Block? Почему? Он уже принял решения запустить этот файл, когда скачивал и запускал.

Share this post


Link to post

Если человек не следует указаниям своего выбора - то увы ....

Share this post


Link to post
Если человек не следует указаниям своего выбора - то увы ....

Это пол беды, как и половина логики :)

 

Интереснее другое, почему антивирус должен блокировать то, что пользователь принял решение скачать и запустить?

Если антивирус будет мешать запустить то, что пользователь решил запустить - его отключат. А если будет мешать часто - удалят, и поставят тот, который не мешает.

Share this post


Link to post
Интереснее другое, почему антивирус должен блокировать то, что пользователь принял решение скачать и запустить?

Не должен. Но я думаю пользователь не хотел бы запускать EICAR, который в базе вирусов антивируса в отличие от скрипта, который может и не вирус.

Share this post


Link to post
Не должен. Но я думаю пользователь не хотел бы запускать EICAR, который в базе вирусов антивируса в отличие от скрипта, который может и не вирус.

Тем интереснее, почему антивирус должен блокировать "может и не вирус"?

Ну вот с какого перепугу?

Edited by Maratka

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.