Jump to content
Sign in to follow this  
CryVICSky

AVZ & KSS (Kaspersky Security Scan)

Recommended Posts

Доброго времени суток, товарищи! Недавно заметил, что некоторая часть баз от AVZ используется в KSS. В связи с этим обстоятельством возник довольно предсказуемый вопрос... Насколько сильно производственный цикл выпуска антивирусных баз этих двух утилит синхронизирован? Понятно, что времени на поддержку AVZ у Олега чрезвычайно мало, но антивирусные базы же можно синхронизировать (включая облачные знания KSS). Есть замечание по поводу алгоритмов эвристики AVZ, которые уже достаточно долгое время отмечают один файл на моём ПК как подозрительный, а ресурсы и знания KSS уже этот файл не цепляют. Буду глубоко признателен за разъяснение данной тонкости производственного цикла антивирусных баз AVZ по сравнению с KSS (дата выпуска баз и версия программы: 07.12.2014, 11:07:38; v.15.0.0.380).

Share this post


Link to post

Также хочу добавить небольшое уточнение. При обычной проверке утилитой с почти дефолтными настройками отмечается один и тот же подозрительный файл уже с июля 2014 года:

C:\Program Files\WindowsApps\Microsoft.WindowsAlarms_6.3.9654.20335_x86__8wekyb3d8bbwe\microsoft.perftrack.dll >>> подозрение на Trojan-Downloader.Win32.Small.czl ( 0515D93F 02CE92F8 002391FB 0023FDCC 24576)

Хотел я отправить его в карантине, собранном стандартными скриптами 4 или 8, недавно, но он в них почему-то не попал. Правда несколько дней назад отправил вместе с ним небольшую группу файлов посредством страницы сайта - z-oleg.com/secur/avz/uploadvir.php, но реакции пока никакой нет.

 

PS: Модератора прошу исправить в описании темы слово - синхронизАция.

Edited by T.I.S.

Share this post


Link to post
Доброго времени суток, товарищи! Недавно заметил, что некоторая часть баз от AVZ используется в KSS. В связи с этим обстоятельством возник довольно предсказуемый вопрос... Насколько сильно производственный цикл выпуска антивирусных баз этих двух утилит синхронизирован? Понятно, что времени на поддержку AVZ у Олега чрезвычайно мало, но антивирусные базы же можно синхронизировать (включая облачные знания KSS). Есть замечание по поводу алгоритмов эвристики AVZ, которые уже достаточно долгое время отмечают один файл на моём ПК как подозрительный, а ресурсы и знания KSS уже этот файл не цепляют. Буду глубоко признателен за разъяснение данной тонкости производственного цикла антивирусных баз AVZ по сравнению с KSS (дата выпуска баз и версия программы: 07.12.2014, 11:07:38; v.15.0.0.380).

Ключевое слово "какая-то часть". В продуктах (KIS, KSS и т.п.) используется подмножество баз AVZ, которое проходит весьма тщательное тестирование и меняется по этой причине сравнительно редко (достаточно отметить, что каждая операция из баз AVZ проверяется на всех продуктах под всеми актуальными операционками, в сумме тысячи проверок получается)... Аналогично с эвристиками - в исследовании системы продукта только проверенные временем и оттестированные эвристики. В утилите AVZ все наоборот - там есть экспериментальные и новые операции, которых нет в продукте. Если они будут фолсить или глючить - они будут доработаны или удалены. Если покажут стабильность - попадут со временем в продукт.

Важна еще одна особенность - большинство баз AVZ пишет система "киберхелпер" без участия человека. Т.е. машина изучает логи\карантины пострадавших, полученные с форумов по лечению ПК, выявляет закономерности, делает новые эвристики для базы, в случае фолсов убирает их или меняет. В продукты же попадают только выверенные человеком базы и прошедшие проверку.

Share this post


Link to post
Также хочу добавить небольшое уточнение. При обычной проверке утилитой с почти дефолтными настройками отмечается один и тот же подозрительный файл уже с июля 2014 года:

C:\Program Files\WindowsApps\Microsoft.WindowsAlarms_6.3.9654.20335_x86__8wekyb3d8bbwe\microsoft.perftrack.dll >>> подозрение на Trojan-Downloader.Win32.Small.czl ( 0515D93F 02CE92F8 002391FB 0023FDCC 24576)

Хотел я отправить его в карантине, собранном стандартными скриптами 4 или 8, недавно, но он в них почему-то не попал. Правда несколько дней назад отправил вместе с ним небольшую группу файлов посредством страницы сайта - z-oleg.com/secur/avz/uploadvir.php, но реакции пока никакой нет.

 

PS: Модератора прошу исправить в описании темы слово - синхронизАция.

Это семпл с MD5=FDC6DC0EFFE0E3D8400BCDCB8E8238BB, C:\Program Files\WindowsApps\Microsoft.WindowsAlarms_6.3.9654.20335_x86__8wekyb3d8bbwe\microsoft.perftrack.dll, файл не опасен, на него могло быть срабатывание старого сигнатурного движка AVZ (толку от него почти нуль, поэтому скажем в KSS такой движек например он не применяется). Я пометил файл как безопасный, с очередным обновлением баз AVZ (ближайшее сегодня в 16:00) фолса на этот семпл пропадет

Share this post


Link to post

Олег, благодарю за достаточно полное разъяснение механики производственного цикла антивирусных баз AVZ и его сравнение с тем же циклом основных продуктов (KIS, KSS и т.п.). После очередного сегодняшнего обновления произвёл проверку ПК, результат которой прикрепил во вложение. Сигнатурный движок продолжает подозревать этот файл, правда по хэшу подозревает несколько одноимённых файлов. В тоже время причина подозрения весьма объективна.

 

На основе всей полученной информации, решил задать вопрос. Возможен ли в ближайшее время выпуск новой версии утилиты с заменой старого сигнатурного движка на более современный? Кстати, 23 февраля сего года исполняется годовщина после последнего релиза AVZ. Хотелось бы в этот же мужской праздничный день увидеть свежий релиз этой достаточно мощной антивирусной утилиты.

avz_log_16.02.2015.txt

Edited by T.I.S.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.