Как скопировать сигнатуру

[WoWchik]

Здравствуйте!
Помогите разобраться.
На нескольких файловых серверах + контроллерах домена Kaspersky Endpoint Security обнаруживает и стирает программу C:\installed.exe в которой- Trojan.Win32.Fsysna.ezkw. 
Мне нужно узнать, кто ее рассылает (создать правило в Wireshark например)

Подскажите как в базе антивируса найти и достать нужную сигнатуру ???

(Поиск по вирусу в сети не выдает именно по Trojan.Win32.Fsysna.ezkw  никакой информации)

[durtuno]

1 час назад, WoWchik сказал:

(Поиск по вирусу в сети не выдает именно по Trojan.Win32.Fsysna.ezkw  никакой информации)

И не выдаст, т.к. это семейство;

1 час назад, WoWchik сказал:

Подскажите как в базе антивируса найти и достать нужную сигнатуру ???

Сигнатуру чего? Зловреда? А, для чего?

1 час назад, WoWchik сказал:

Мне нужно узнать, кто ее рассылает (создать правило в Wireshark например)

Использовать сторонние утилиты, которых предостаточно.

Кстати да, интересно, а что в журналах событий на "KSC", какой процесс порождает этот файл?

Edited Thursday at 03:28 PM by durtuno

[WoWchik]

14 часов назад, durtuno сказал:

Сигнатуру чего? Зловреда? А, для чего?

Чтобы настроить правило для перехвата трафика, Вы знаете как это сделать ?

14 часов назад, durtuno сказал:

Кстати да, интересно, а что в журналах событий на "KSC", какой процесс порождает этот файл?

Где именно посмотреть это ? 
Какой именно журнал ?

[durtuno]

27 минут назад, WoWchik сказал:

Чтобы настроить правило для перехвата трафика

У Вас сигнатурный детект файла, причем тут перехват трафика?

Уж уверен, что ни одна АВ-компания никакие сигнатуры не публикует, но есть понятие хэшей, которые Вы сможете увидеть в отчёте угроз.

Для логгирования попробуйте использовать сторонние утилиты, раз у Вас сценарий повторяется;

28 минут назад, WoWchik сказал:

Вы знаете как это сделать ?

Нет, не знаю;

28 минут назад, WoWchik сказал:

Где именно посмотреть это ? 
Какой именно журнал ?

Например журнал событий "KSC".