Jump to content
Sign in to follow this  
olmor

Kaspersky удаляет программу

Recommended Posts

Добрый день!

 

Не знаю куда написать, попробую сюда. Пробовали писать менеджеру по работе с партнерами,

но ответа нет.

 

Предыстория. Наша фирма является разработчиком программ (регионального масштаба)

(desktop для платформы Windows).

Программы у клиентов обновляются через интернет, у многих из них установлены лицензионные

продукты Лаборатории Касперского (разных версий, в основном KIS и KAV начиная с 2013, также KES 2010).

Операционные системы у клиентов в основном Windows 7 (32 и 64 разрядные), изредка

Windows XP.

 

В последнее время участились инциденты, связанные с удалением исполнимых модулей наших

программ на компьютерах клиентов с установленными продуктами Лаборатории Касперского.

Удаление происходит при каждом обновлении программы, иногда сразу, иногда при следующей

перезагрузке компьютера.

 

Как я понимаю, антивирусам Касперского не нравится активность при обновлении, файлы

в каталоге программы частично заменяются целиком, частично патчатся (используются бинарные

патчи), частично добавляются.

 

Причем включение главного исполнимого модуля в "доверенные" с установкой всех галок не помогает.

Получается, что нет уверенности, что при следующем обновлении наших программ они вновь

не будут удалены антивирусом.

 

Раньше такие удаления были очень редкими, но начиная примерно с февраля 2016 года

они приобрели массовый характер.

 

Воссоздать повторно ситуацию с удалением у себя на рабочем месте многократно

пытались (с использованием пробных версий Касперского), но устойчивого результата нет,

пару раз добились повторения удаления, но в основном все работало нормально.

 

Помогите, с кем можно пообщаться по этим вопросам?

Поможет ли, если исполнимые файлы будут подписаны цифровой подписью (MS Authenticode)?

Почему не срабатывает включение в "доверенные"?

 

С уважением, Олег

Share this post


Link to post

Уточню,

как правило удаляемый файл программы классифицируется Касперским как PDM:Trojan.Win32.Generic

При этом если проверить через virustotal - определяется как безвредный всеми антивирусами.

Share this post


Link to post
Почему не срабатывает включение в "доверенные"?

Потому что добавлять нужно в исключения.

Share this post


Link to post
а не пробовали направить запрос в вирлаб на ложное срабатывание?

PDM:Trojan.Win32.Generic это сработала проактивка, что то в поведении удаленного файла ей не понравилось

 

Пока что не отсылал, да и не понял как это сделать, подскажите.

Ссылка в разделе "Связаться с нами" (http://www.kaspersky.ru/about/opinion) не позволяет отправить файл.

 

Плюс к этому, программа постоянно обновляется, соответственно исполнимые файлы меняются.

Вообще, трудно бороться в темной комнате с призраками (когда непонятна зависимость,

файл то удаляется, то нет).

Share this post


Link to post
Потому что добавлять нужно в исключения.

 

Поясните тогда, почему.

Я считал, что отключить проверку активности программы можно,

добавив ее в "доверенные". Там есть опции для этого.

Share this post


Link to post

В мониторе активности не возможности перенести программу в "доверенные", а именно он и детектит вашу программу по поведению

 

Share this post


Link to post
В мониторе активности не возможности перенести программу в "доверенные", а именно он и детектит вашу программу по поведению

 

Не совсем вас понял,

но для чего тогда опция "Не контролировать активность программы" в окне добавления доверенной программы.

 

post-135618-1459941648_thumb.jpg

 

"Контроль активности" и "Монитор активности" - это из разных областей ?

Edited by olmor

Share this post


Link to post
попробуйте создать исключение для файлов которые удаляются как указано в данной статье

т.е. укажите путь к файлу, найдите в отчете то название детекта с которым он удаляется и впишите его в поле объект, далее укажите элементы для которых это правило активно, думаю начать стоит с мониторинга активности

 

Попробую, спасибо.

Удастся ли проверить, что это точно помогает, не знаю,

так как воссоздать удаление редко удается.

Share this post


Link to post
Не совсем вас понял,

но для чего тогда опция "Не контролировать активность программы" в окне добавления доверенной программы.

 

post-135618-1459941648_thumb.jpg

 

"Контроль активности" и "Монитор активности" - это из разных областей ?

 

Это тот же самое и одинаковое . То есть мониторинг активности - защита реальных времени, а контроль активности - управляет файлом пользователям вручную.

Share this post


Link to post
Не совсем вас понял,

но для чего тогда опция "Не контролировать активность программы" в окне добавления доверенной программы.

 

post-135618-1459941648_thumb.jpg

Для того, чтобы на нее не обращал внимания HIPS.

 

 

"Контроль активности" и "Монитор активности" - это из разных областей ?

Не знаю. Похоже вы приводите названия компонентов из разных продуктов. Я не в курсе существования какого-то одного продукта, в котором были бы оба эти компонента.

 

А вообще, будучи производителем ПО, вам лучше всего подписаться на участие в программе Whitelisting

http://whitelisting.kaspersky.com/whitelist-for-partners-ru

Edited by Русский

Share this post


Link to post
А вообще, будучи производителем ПО, вам лучше всего подписаться на участие в программе Whitelisting

http://whitelisting.kaspersky.com/whitelist-for-partners-ru

 

Спасибо, очень хороший совет, честно говоря не знал о такой программе у Лаборатории Касперского.

Думал только о цифровой подписи исполнимых файлов, но поможет ли она в данном случае, неизвестно.

Попытаемся войти в эту программу

Edited by olmor

Share this post


Link to post

Про подпись мельком есть информация на странице, которую я дал вам в качестве варианта решения проблемы.

 

Вкратце: поможет на текущих версиях антивирусов KL, но как дело повернется на будущих версиях - от KL оно мало зависит. Скажем, никто не может гарантировать, что центры выдачи сертификатов для подписывания ПО смогут отсеять явных распространителей малвары, а значит - сама идея доверия подписи под большим сомнением. Само собой, что если дело повернется именно таким образом, то KL отменит доверие подписям как минимум по умолчанию, а может и вообще.

Edited by Русский

Share this post


Link to post

интересно, какая репутация у файлов по KSN, потому как PDM:Trojan.Win32.Generic это неизвестные (новые) файлы, которые не имеют подписи

 

Share this post


Link to post
интересно, какая репутация у файлов по KSN, потому как PDM:Trojan.Win32.Generic это неизвестные (новые) файлы, которые не имеют подписи

Вердикт PDM:Trojan.Win32.Generic не зависит от даты публикации файла.

Share this post


Link to post
интересно, какая репутация у файлов по KSN, потому как PDM:Trojan.Win32.Generic это неизвестные (новые) файлы, которые не имеют подписи

 

Как я понимаю, возможно и нулевая, так как удаляются только что обновленные исполнимых файлы

(то есть имя старое, но файл новый, с новой версией и новой контрольной суммой).

 

Share this post


Link to post

Знаете как волк рычит?

Ну типа "ррррЫЫЫ" :)

 

Короче, дайте пожалуйста один пробный файл на "посмотреть"?

Через файлообменик пожалуйста.

Share this post


Link to post
Про подпись мельком есть информация на странице, которую я дал вам в качестве варианта решения проблемы.

 

Вкратце: поможет на текущих версиях антивирусов KL, но как дело повернется на будущих версиях -

от KL оно мало зависит. Скажем, никто не может гарантировать, что центры выдачи сертификатов для подписывания

ПО смогут отсеять явных распространителей малвары, а значит - сама идея доверия подписи под большим сомнением.

Само собой, что если дело повернется именно таким образом, то KL отменит доверие подписям как минимум по умолчанию,

а может и вообще.

 

Спасибо за пояснения, я знаю что уже были случаи, когда вирусы были подписаны.

 

А вообще получается, что производитель ПО вынужден «сертифицироваться» у производителей

антивирусов, в данном случае у Касперского, как наиболее распространённого на нашем рынке,

чтобы избежать его недетерминированного детектирования.

 

 

Share this post


Link to post

Вовсе нет.

У KL (как и любого другого производителя антивирусов) есть база "чистого" ПО, на которой постоянно проверяются антивирусные базы, перед их выкладкой на публичные сервера.

 

Другое дело, что у вас -случай не бинарного, а поведенческого детекта. Т.е файл нужно запустить, зачастую - еще и с нужным параметром, чтобы он продетектился как вредоносный по своему поведению на реальной системе.

Именно этим объясняется наличие детекта при работе вашего ПО, и его отсутствие - при проверка файлов на VirusTotal.

 

Случайным же образом угадать при написании ПО вредоноснее поведение согласно сигнатурам того или иного антивируса - это нужно постараться, потому как сигнатуры в базах делаются далеко не просто на любой чих, следовательно, большинство производителей ПО вполне нормально себя чувствуют и без добавления хешей их разработок в базу "чистых".

Share this post


Link to post
Знаете как волк рычит?

Ну типа "ррррЫЫЫ" :)

 

Короче, дайте пожалуйста один пробный файл на "посмотреть"?

Через файлообменик пожалуйста.

 

Если просто файл, чтобы посмотреть репутацию, вот ссылка.

Вот он как раз удалялся.

 

А если нужно, чтобы работал, то нужен дистрибутив.

Share this post


Link to post
Вовсе нет.

У KL (как и любого другого производителя антивирусов) есть база "чистого" ПО, на которой постоянно проверяются антивирусные базы, перед их выкладкой на публичные сервера.

 

Другое дело, что у вас -случай не бинарного, а поведенческого детекта. Т.е файл нужно запустить, зачастую - еще и с нужным параметром, чтобы он продетектился как вредоносный по своему поведению на реальной системе.

Именно этим объясняется наличие детекта при работе вашего ПО, и его отсутствие - при проверка файлов на VirusTotal.

 

Случайным же образом угадать при написании ПО вредоноснее поведение согласно сигнатурам того или иного антивируса - это нужно постараться, потому как сигнатуры в базах делаются далеко не просто на любой чих, следовательно, большинство производителей ПО вполне нормально себя чувствуют и без добавления хешей их разработок в базу "чистых".

 

В данном моем случае, сложно предугадать какое поведение антивирус сочтет за вредоносное, поэтому я и назвал детектирование "недетерминированным".

Я лично подозреваю, что антивирусу не нравится обновление исполнимого файла методом бинарного патча, т.е. в обновлении не весь файл,

а только патч, применяемый к предыдущей версии файла, но сколько не пытаюсь у себя воссоздать - не получается, а у клиентов удаляется

с завидным постоянством.

Share this post


Link to post
вот ссылка
скачал через IE 11 в Win 10, сработал фильтр SmartScreen

но KTS 16.0.1 не отреагировал, при открытии каталога в который скачан файл

вот репутация

post-328408-1459969159_thumb.jpg

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.