D5 Render

[Иван См]

Вы уничтожили мою работу за весь день! Ни с того ни с сего антивирус решил что программа это троян. Без предупреждения, принудительно закрыла визуализатор и удалила лаунчер приложения. На минуточку, я купил версию про, на месяц, чтобы сделать проект, но не могу теперь работать. Антивирус постоянно удаляет приложение. Легальное, лицензионное, официально купленное. Могу прислать Вам чеки за покупку. И что мне делать? Удалять ваш анивирус?

[andrew75]

Добрый день.

Проблема решается добавлением программы в исключения:   https://support.kaspersky.ru/help/Kaspersky/Win21.14/ru-RU/227390.htm

 

 

[Maratka]

1 час назад, andrew75 сказал:

Проблема решается добавлением программы в исключения:   https://support.kaspersky.ru/help/Kaspersky/Win21.14/ru-RU/227390.htm

Оно конечно решается, но...

Вот доверенная эта программа согласно подписи, или нет?

Вроде бы доверенная получается?
А вот и нет:

Детект понятно откуда в целом, а проблема (еще одна), что и в KSN этого ПО тоже нет. Что тоже не очевидно, в первом окне оно вроде бы доверенное по KSN. А во втором- заведомо не доверенное. Для малораспространенного ПО, разработчики которого не сотрудничают с ЛК - обычное дело.

Ну и отдельный вопрос, что ЛК очень уж ударяет на интерфейс для бабушек.
Ну поставь ты чекбокс в мастере установки, чтобы включить интерактив, нет, сначала пользователь должен обжечься, а потом, когда придет на форум или в ТП писать, ему скажут, что вот, есть такая у нас настроечка, там ты можешь решить сам, и даже прямо из алерта программу доверенной сделать.

[andrew75]

@Maratka, это все замечательно.

Но вроде бы мы пытаемся решить проблему конкретного пользователя, а не проблемы продукта вообще.

[Maratka]

А что ее решать? Вы все правильно написали. И да, он типичная бабушка, которая въезжает в тему настройки антивирусов примерно как я в тему рендеринга.

Но я немного о другом: не было бы проблем у антивируса, глядишь - меньше проблем было бы и у его пользователей.
Или мне одному кажется, что информация в приведенных мной окнах взаимоисключающая?

Нет, я то знаю, что она подразумевает. Но много ли пользователей с этим разберутся? Особенно в случае вот этой бесплатной версии, где получить второе окно в принципе невозможно?

А так имеем: он оплатил лицензию, скачал свою рендерку, посмотрел (ну может не посмотрел, но вполне возможно, что все же посмотрел), что ПО - безопасное, значит и вопросов к нему нет, запустил, и стал работать. Зачем ему настраивать исключение, даже если бы он знал, как их настраивать, и имел опыт настройки, если ПО заведомо безопасное, согласно его репутации? Ну и авторежим, который тоже не все знают, как выключить. Хотя дел там на 2,5 минуты, чтобы все красиво настроить, я например так делаю, ибо лишние алерты мне тоже не нужны:
Все антивирусы, что на трафике работают - настраиваю на блокировку. Файловый - тоже. Сканер - на уведомление. А вот относительно часто фалсящий ПДМ - работает со всеми алертами. И если оно продетектит что-то, что не нужно детекить - я ему прямо из алерта и скажу, что не надо мне туда лезть, оно "хорошее".
В результате, у меня почти авторежим, кроме ПДМ. При этом, даже если будет фолс ФА или сканера -ничего не удалится лишнего. Просто иконка изменит цвет, и потом можно спокойненько взять ведерко пива, и разобраться, что это было, по делу, или действительно сфолсило. Но у него то авторежим стоял, и потому при детекте -сразу прибил процесс, со всеми обрабатываемыми данными.

Т.е. это я к чему: его проблему на все 100% уже решить невозможно, т.к. он УЖЕ потерял данные.
Решаемо только то, что он в будущем не будет данные терять. А для этого нужно настроить антивирус так, как я выше написал.

Ну и ЛК конечно должна писать в окнах их антивирусов информацию, которая по-факту есть, а не которую они пишут. Тогда и вопросов будет меньше.

[Friend]

1 час назад, andrew75 сказал:

Проблема решается добавлением программы в исключения:   https://support.kaspersky.ru/help/Kaspersky/Win21.14/ru-RU/227390.htm

Это временное решение, до следующего обновления приложения.

1 час назад, andrew75 сказал:

Но вроде бы мы пытаемся решить проблему конкретного пользователя, а не проблемы продукта вообще.

Это бы желательно решить конечно в приоритете , но это скорее всего будет сложно реализовать. Не первый раз уже встречается подобный ложный детект в последнее время. 

На текущий момент есть несколько решений для пользователя:

1. Создать исключения в антивирусе для этого софта.

2. Собрать трассировки с воспроизведением проблемы и направить в поддержку с описанием проблемы и сообщением о ложном детекте, чтобы ВирЛаб поправил PDM детект.  ( Это будет что-то из фантастики, так как в Free версии собрать трассироки через интерфейс продукта невозможно, нужно лезть в реестр системы)

3. Ожидать, что разработчик ПО присоединится к программе Allowlist и подобных ситуаций будет в разы меньше.

[AlexeyK]

1 час назад, Maratka сказал:

Или мне одному кажется, что информация в приведенных мной окнах взаимоисключающая?

Всем привет! Хотел бы продолжить эту тему, если можно.

Как раз столкнулся с подобной ситуацией. Создал запрос в ТП, пока был ответ только о "корректности детекта", обсуждение продолжается.

Есть две проги RustDesk версий 1.2.0 и 1.2.1. В первом случае файл установщика не детектируется, он доверенный по KSN. При запуске распаковывается файл, который через KSN не проведен, в репутации он тоже доверенный по ЦП, но при этом идет в слабые ограничения и к тому же детектируется как Riskware.

В случае с версией 1.2.1 ситуация обратная: файл установщика не проведен через KSN, но он доверенный по ЦП, хотя при этом идет в слабые ограничения и дететируется как Riskware. Распакованный же файл полностью доверенный.

В итоге получается, что все файлы доверенные согласно репутации, но половина определяется в слабые ограничения и детектируется как ПНП. Инфа на скринах.

Спойлер

 

 

 

Edited August 5, 2023 by AlexeyK

[kmscom]

@AlexeyK кажется вы показали работу обнаружения других приложений, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. К таким приложениям относятся, например, приложения удаленного администрирования, которые используют системные администраторы; чтобы получать доступ к интерфейсу удаленного компьютера для наблюдения и управления.
Это обнаружение можно отключить https://support.kaspersky.com/help/Kaspersky/Win21.13/ru-RU/201385.htm

[AlexeyK]

@kmscom Вопрос заключается совсем не в этом. ПНП обычно имеют соответствующую отметку в репутации KSN (скрин). Здесь информация, как и говорил @Maratka, взаимоисключающая: доверенное приложение не только идет в слабые ограничения, но и детектируется.

Спойлер

 

[kmscom]

Только что, AlexeyK сказал:

но и детектируется.

потому что включен их детект, но это все настраивается. а вот доверие настроить нельзя, оно либо есть, либо его нет

[AlexeyK]

@kmscom Вы опять не про то. Я знаю, как отключить такие детекты, пример с Process Hacker на скрине: детект отключен, в KSN программа обозначена как ПНП, идет в слабые ограничения, детекта нет. Вот эта ситуация вопросов не вызывает.

Спойлер

 

[Maratka]

4 часа назад, Friend сказал:

( Это будет что-то из фантастики, так как в Free версии собрать трассироки через интерфейс продукта невозможно, нужно лезть в реестр системы)

Командная строка вроде бы работает, или тоже отменили? Если работает - поди батник могут в техподдержке дать!

4 часа назад, AlexeyK сказал:

Как раз столкнулся с подобной ситуацией. Создал запрос в ТП, пока был ответ только о "корректности детекта", обсуждение продолжается.

Тут нужно просто знать. А откуда знать, если оно не документировано, оно просто как данность?
В общем, первое окно - это что-то вроде того, что подпись не заблокирована (я только про подпись), т.е. если очень просто, оно не так, но в целом - можно и так сделать - то нет детекта заведомой малвары по подписи, он делается вроде бы как не очень сложно, и при этом детектит все, что ей подписано, т.е. базы для детекта получаются компакнтынми. Но и в белый лист заведомо доверенных подписей она тоже не добавлена.

Ну а второе окно - это как оно на деле, согласно информации выше обрабатывается.

То, что оно пишет касательно доверенности в KSN в первом - отдельная тема.

[AlexeyK]

8 минут назад, Maratka сказал:

в белый лист заведомо доверенных подписей она тоже не добавлена.

Сертификат просто доверенный, уточнения "без подтверждения" нет (если я правильно понял, о чем речь).

Спойлер

 

[Maratka]

Кстати, еще впомнил.. Давно это писал, когда еще сам в ЛК работал, непричлично оно в GUI написано, ибо чисто технически - неверно. Я про это окно:


Что такое "доверять подписям"? Очевидно, что доверять всему подписанному, т.е. я заплачу денег (не особо много, моей зарплаты хватает), подпишу своей подписью - и все что ли, оно доверенное?
Нет конечно! Эта надпись в пункте настроек означает, что доверять оно будет только подписанному, из белого списка подписей. Т.е. ну наверное детектить ПО с подписью ЛК оно не будет. С подписью Microsoft - вероятно тоже. И то, и другое - ну наверное потому, что это будет абсурд какой-то, если так сделать. А вот ПО с подписью (условно) Realtek - а почему бы и нет, благо, что десяток лет назад у них была утечка (т.е. условный я мог купить их подпись на черном рынке, и подписать ей заведомую малвару). Так вот, в GUI нужно писать, как оно есть, а не как написано, что де "доверять заведомо безопасным подписям" (юротдел ЛК сформулировать так, чтобы к ним исков не было поди сможет).

2 часа назад, AlexeyK сказал:

Сертификат просто доверенный, уточнения "без подтверждения" нет (если я правильно понял, о чем речь).

А в данном случае перебивает детект. Т.е. оно заведомо круто, но вот оно детектится, а что детектится - не может быть доверенным.
Т.е. все, что детектится, но не проходит точечно по хешу в KSN как доверенное - оно не доверенное (не путать с недоверенным, это опять же детект точечный, и через именно что KSN), в этом случае оно попадет не в ограниченную группу, а именно что "недоверенную", и (не знаю как сейчас, но несколько лет тому так было) - будет удалено физически ХИПСом.

[AlexeyK]

8 минут назад, Maratka сказал:

не проходит точечно по хешу в KSN как доверенное

А как тогда понимать, что при отключении детекта ПНП этот же файл идет в доверенные по причине информации из KSN, а не анализу ЦП?

Спойлер

 

[Maratka]

Очевидно, что при отключении детекта оно уже не детектируется.

[AlexeyK]

2 часа назад, Maratka сказал:

Что такое "доверять подписям"? Очевидно, что доверять всему подписанному

Иногда пользователи отключают это доверие, так как видят здесь потенциальную опасность из-за такой расплывчатой формулировки.)

2 часа назад, Maratka сказал:

при отключении детекта оно уже не детектируется.

Почему идет в доверенные из-за информации из KSN, а не по анализу ЦП? Значит этот файл все-таки каким-то образом в KSN проведен или как?

Edited August 5, 2023 by AlexeyK

[Maratka]

2 часа назад, AlexeyK сказал:

Иногда пользователи отключают это доверие, так как видят в ней потенциальную опасность из-за такой расплывчатой формулировки.)

То проблемы индейцев. Ну если нормально, в нормальных условиях. Я знаю, как оно работает, потому отключать не вижу смысла.

С другой стороны, вообще говоря любая технология - потенциально уязвима, и даже не просто потенциально, а реально. Ошибиться могут все. KSN не исключение. Да и список белых подписей - он белый, пока подпись не украли. Т.е. всегда будет лаг между реальным заражением еще доверенного, и исключением его из базы, той или другой.

2 часа назад, AlexeyK сказал:

Почему идет в доверенные из-за информации из KSN, а не по анализу ЦП? Значит этот файл все-таки каким-то образом в KSN проведен или как?

Не знаю. Возможно, в данном случае оно вот так выставлено в приоритетах.
Я лет 15 назад подписал по случаю дропер Икара. В ЛК подписал, подписью ЛК, чьей же еще, если там работал? Ну и забыл про него надолго. А тут вдруг вспомнил, года через два, и запустил. И был в конторе взрыв мозга на добрых две недели, ибо нельзя его детектить, но и не детектить нельзя. Видать оттуда и пошли эти вещи, что Вы тут спросили - приоритет подпись/KSN/детекта в базах/детекта по поведению и может еще чего, вроде типа детекта, ну скажем не-вирус - это одно, а вирус - это уже другое.
Как оно сейчас - не скажет никто, не ума это техподдержки. Запросы в Вирлаб делать - не факт, что и там ответят, они за подписи не отвечают. Ну т.е. спросить теоретически Вы можете (при случае, если пойдете на это - вот про Икар им напомните, что выше я написал) - мол как оно должно быть? Но то, что Вам ответят (а не попросят трейсы, они могут, это их дежурный вопрос, могут и GSI запросить, почему бы и нет?) - вместо того, чтобы прочитать вопрос и передать его по уровню компетенции в другой отдел - это не уверен. Но т.е. ответ Вы то конечно получите, но вот что раньше 2024-го успеете - не гарантирую!

[AlexeyK]

@Maratka Спасибо за ответы, думаю, что здесь с Вами обсудить гораздо продуктивнее.)) В общем, ответа от ТП жду, но и не то, чтобы сильно надеюсь на прояснение.) Смею предполагать, ответ будет вроде "так задумано, все корректно".)

В общем, из-за большого количества всевозможных технологий проверок могут возникать подобные противоречия (может даже где-то неразрешимые). Ну и на окно "Репутация программы" смотреть, оказывается, нужно критически, так как доверенная репутация еще совсем не означает отсутствие детекта другими модулями.

Отдельная благодарность за юмор.))

[Maratka]

1 час назад, AlexeyK сказал:

Ну и на окно "Репутация программы" смотреть, оказывается, нужно критически, так как доверенная репутация еще совсем не означает отсутствие детекта другими модулями.

Именно. Если есть желание - пишите им в ТП, чтобы делали в интерфейсе "как есть", а не "как им хочется". Хотя возможно оно и обычная ошибка, типа "не учли", т.е. в одном окне (втором у меня выше) они приводят реальную информацию, а в первом - там наследуют код из какой-то там версии 2011/12, ну может 15... Тогда пусть правят!

Да, кстати...
Подписанный Икар я Вам не дам, у меня уже давно рассосалось нечто, что называется "соглашение о не разглашении", но почему-то за ЛК таки болею. Так много знакомых, там приятели... в общем - не дам.

Но если ТП попросит - пусть пишет тут ко мне вопрос, вот тут на форуме. Если им надо для понимания, как оно. Я и сам не знаю, как оно, мне его копать в архиве с ~2000 утилит. Им - дам понятно. Хотя - зачем, у них поди нет проблемы написать примитивный дропер, и подписать. Воспроизводить (что очевидно) придется им самим, а не Вам, но т.к. там воспроизводить особо нечего - авось руки не отвалятся, за 1,5 минуты. Дальше, еще 1,5 минуты будет воспроизводить тестлаб (но это не факт, вероятность малая, техподдержка имеет право самостоятельно заводить ошибки в их системе учета, если проблема очевидна).

Мне самому оно даже где-то интересно будет узнать, как оно по факту рулится, и как оно должно быть.

Нашел у себя.
MD5- 887CF57C9F8227AC07157E5E75CFAE1F

Подпись 2008.
Если нужно ТП - они найдут, по хешу - более чем реально.

[AlexeyK]

Внесли исправления, теперь репутация в KSN соответствует детекту.

Спойлер

 

И файлы при запуске идут в слабые ограничения даже при отключении детекта ПНП, так как сертификат сделали недоверенным.

Спойлер

 

[Friend]

1 час назад, AlexeyK сказал:

Внесли исправления

Нет же, идет противоречие:

1 час назад, AlexeyK сказал:

сертификат сделали недоверенным.

Так и группа должна быть недоверенная?  Зачем ее добавлять в слабые ограничения.
Ошибку исправили только для этой программы или для всех подобных?

[Maratka]

В русском языке есть термин "недоверенный" - в смысле являющимся вот этим самым недоверенным, и "не доверенный" - т.е. не являющийся доверенным. 😉

[AlexeyK]

14 минут назад, Friend сказал:

Так и группа должна быть недоверенная?  Зачем ее добавлять в слабые ограничения.

Недоверенный сертификат - это не значит, что программа является вредоносной и ее запуск должен быть заблокирован.

16 минут назад, Friend сказал:

Ошибку исправили только для этой программы или для всех подобных?

Вся доступная мне информация на скриншоте с ответом ТП.