Jump to content
it-nico

Скрытые угрозы? [Bug 1275357]

Recommended Posts

Добрый день!

 

Данное поведение исследуется разработчиками, информации от них пока не поступало.

Как только что-то прояснится - сразу дадим ответ в данной ветке.

 

Спасибо!

Понятно, бросаю деятельность разводить). Сейчас Обнаружено угроз: 1 и она, похоже отображается на скриншоте ниже

post-572019-1444203755_thumb.jpg,

не допуская от меня никаких действий и практически не информируя:

post-572019-1444203771_thumb.jpg

 

P.S. Не знаю, получил ли Е. Медведев от меня сообщение (в Sent его нет), поэтому повторюсь, что прочитав внимательней сообщения OIT'а о Счетчике угроз и полной проверке об обнаружении и осмыслив, пришел к выводу, что в Управлении задачами по замыслу после текста "Обнаружено угроз:" указывается количество угроз обнаруженных (и вылеченных/ устраненных пользователем или др. программой/более не обнаруживаемых, но не активных) угроз. Это действительно так?

Share this post


Link to post
P.S. Не знаю, получил ли Е. Медведев от меня сообщение (в Sent его нет), поэтому повторюсь, что прочитав внимательней сообщения OIT'а о Счетчике угроз и полной проверке об обнаружении и осмыслив, пришел к выводу, что в Управлении задачами по замыслу после текста "Обнаружено угроз:" указывается количество угроз обнаруженных (и вылеченных/ устраненных пользователем или др. программой/более не обнаруживаемых, но не активных) угроз. Это действительно так?

Для эксперимента (проверка моей темы): можете вирус eicar проверить? Сохранить в txt и проверить. Счетчик угроз увеличится в Важных областях?

Мне кажется, там что-то нахимичили в ЛК.

Share this post


Link to post
Для эксперимента (проверка моей темы): можете вирус eicar проверить? Сохранить в txt и проверить. Счетчик угроз увеличится в Важных областях?

Мне кажется, там что-то нахимичили в ЛК.

God bless you! Теперь все работает как надо!! Угроза обнаружилась, счетчик добавился и отобразилась ссылка Активные угрозы. При этом, в карантине я нашел один из файлов CS1.6, который, как выяснилось, и был моей угрозой (обнаруженной в ходе одной из выборочных проверок, осуществленных Касперским ночью)! Я его восстановил (Счетчик скинулся), и зашел в папку - Касперский тут же оповестил меня о наличии активной угрозы и поместил в карантин, о чем и отчитался в системном аудите, как положено!

Как было при автоматической выборочной проверке:post-572019-1444213398_thumb.jpg

Как стало при доступе к файлу:post-572019-1444213410_thumb.jpg

Share this post


Link to post

Я не удержался и еще поэкспериментировал ))

Суть в следующем:

- берем вирус (вроде wmodfx_cache_amx.exe)

- открываем папку с ним

- срабатывает КЕС и помещает файл в карантин

- в главном окне высвечивается "Есть активные угрозы", причем до тех пор, пока мы не удалим вирус/ восстановим файл, что легко сделать, нажав на активные угрозы или карантин

- поведение программы понятно

 

сценарий 2:

- копируем из браузера текст теста Эйкар в файл txt и сохраняем

- срабатывает КЕС и помещает файл в Резервное хранилище

- при этом в главном окне высвечивается "Есть активные угрозы", но вскоре надпись пропадает (возможно, так происходит только при повторном обнаружении Эйкар)

- в итоге, ожидалось устранение угрозы по первому сценарию, а получилось, что

1. Резервное хранилище отображает файлы не сразу, поэтому при беглом просмотре вкладок окна "Хранилища" файлы можно не заметить :icon20:

2. КЕС сообщает об обнаруженных угрозах, но не предоставляет пути решения, например, ссылка "Есть активные угрозы"

3. или хотя бы запись в Системном аудите с путем к зараженному файлу (на скринах выше видно, что такая запись есть только для Карантина)

 

ну и сценарий 3

- дожидаемся автоматической (случайной?) выборочной проверки, которая обнаружит зараженный файл и поместит в Резервное хранилище с тем же результатом, что и во 2 сценарии

Пожалейте бедного пользователя, не дайте ему :dash1:

Share this post


Link to post

P.S. Полная проверка также не является решением для пользователя в данной ситуации (видимо, файлы в "Резервном хранилище" игнорируются), только непосредственно зайти в Хранилища, перейти на вкладку "Резервное хранилище", дождаться отображения файлов и удалить/восстановить их (кто его туда направит?). По крайней мере, у меня так.

P.P.S. Хоть бы к названию вкладки в Хранилищах добавили количество файлов в каждой, отображаемое одновременно с открытием окна

Edited by it-nico

Share this post


Link to post
Добавил на ftp более краткую трассировку(Selective_scan_with_no_objects.zip):

- включил трассировку

- выключил касперского, подождал минуту, включил

- выполнил Выборочную проверку с отключенными областями проверки

- выключил трассировку

Итог: 3 угрозы в Задачах проверки -- "Угрозы не обнаружены" в окне проверки -- Задача запущена/завершена в отчетах

 

Здравствуйте,

в последующих сборках баг исправлен.

Спасибо.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.