Jump to content
Sign in to follow this  
aigir

KES начал массово мочить PDF-файлы.

Recommended Posts

С сегодняшнего дня KES вдруг начал массово возбуждаться на PDF (HEUR:Trojan.PDF.Phish.gen).
Поудалял на компах кучу старых и новых сканов с внутренними документами.
Причем любопытная ситуация - KES мочит даже только что созданные штатным сканерным софтом сканы.
Т.е. сканирую документ, сохраняю в PDF - KES сразу мочит.
Есть одно предположение: штатный сканерный софт сразу при сканировании в автоматическом режиме распознает документ, и вставляет распознанный текстовый блок внутрь PDF в довесок к непосредственно графическому скану.
И если в этом текстовом блоке попадаются ссылки, либо текст, похожий на ссылки - KES сразу возбуждается.
Возможно сегодня в KES поменялся алгоритм эвристики, и теперь он реагирует на любые текстовые фрагменты внутри PDF, похожие на ссылки.

И что теперь с этим делать? Я конечно временно добавил в исключения этот тип объекта, но постоянно его игнорировать было бы небезопасно.
Можно попробовать пошаманить с настройками сканерного софта, но это отразится только на новых сканах, а что делать с кучей старых?
Может все-таки как-то подкрутить эвристику?

Завел инцидент о возможно ложном срабатывании INC000009843766, приложил образцы файлов.
Реакции пока никакой.

Share this post


Link to post

Добрый день. 

В настоящий момент ваше обращение находится в очереди вирусной лаборатории. 

Соберите GSI отчет и трассировку работы KES ( с перезапуском), приложите политику и отчет об обнаруженных объектах, передадим заявку разработчикам.

Уточните также модель сканера, версию и наименование софта. 

Share this post


Link to post

Подтверждаю массовую проблему. Сегодня один из клиентов обратился с такой же бедой, но PDF-ки мочит не KES, а Kaspersky Security for Virtualization 4.1.0.47 - с вердиктом HEUR:Trojan.PDF.Phish.gen. Заводил по проблеме  INC000009843918 около шести часов назад

Share this post


Link to post

Запустите, пожалуйста, обновление баз данных и проверьте воспроизведение проблемы. 

Если проблема не ушла, то понадобятся трассировки. 

Share this post


Link to post

То-же самое (INC000009844702). В обед заводил. Сейчас проблема ушла, но официального ответа на тикет нет.

Share this post


Link to post
14 hours ago, dvz said:

То-же самое (INC000009844702). В обед заводил. Сейчас проблема ушла, но официального ответа на тикет нет.

Заведенный инцидент является обращением в Вирлаб. В CSS Remedy такие инциденты закрываются автоматически после отправки файла на анализ. В связи с этим ответ в рамках такого инцидента может не приходить.

К настоящему моменту проблема должна быть исправлена обновлением баз.

Спасибо.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.