sergey888 61 Опубликовано 16 августа, 2013 Share Опубликовано 16 августа, 2013 Тут на одном форуме возник вопрос по работе KSN. Значит такой вариант, имеем файл зловред без цифровой подписи который касперский еще не знает, но так как какое то количество мало знающих пользователей занесли его в доверенные KSN то касперский заносит этот файл автоматом в доверенные у всех остальных пользователей этой проги. При этом (по не проверенным данным) KSN полностью отключить не возможно в версии 2014 можно отключить только отправление данных с системы, но KSN все равно будет влиять на занесение программы в доверенные или нет. Вот я и хочу что бы вы прокомментировали этот вопрос, реально ли то что я тут описал и реально ли то что по рейтингу KSN зловред попадет в доверенные даже при подозрительных действиях со стороны проги? 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Drru 143 Опубликовано 16 августа, 2013 Share Опубликовано 16 августа, 2013 Думаю, не реально. По крайней мере, маловероятно. Чтобы делать выводы о возможности подобного сценария необходимо точно знать, что необходимо, чтобы программа попала в базу чистых программ в "облаке", мне кажется это ни как не связано с тем заносят ли его пользователи в Доверенные или нет. Что касается невозможности полного отключения KSN, он всегда включен в Файловом антивирусе и при проверке компьютера. То есть файл в любом случае проверяется по базам из "облака". Цитата Ссылка на сообщение Поделиться на другие сайты
sergey888 61 Опубликовано 16 августа, 2013 Автор Share Опубликовано 16 августа, 2013 (изменено) Думаю, не реально. Как то не очень уверенно. Просто там где я это взял привели пример такого действия и что особо напрягает что как там говорят зловредная прога не только попала в доверенные но еще и до сих пор работает и в KSN до сих пор доверенная. Если говорить более конкретно то все видно тут: http://safetygate.ru/forum/index.php?topic=33.msg136321#msg136321 Изменено 16 августа, 2013 пользователем sergey888 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Drru 143 Опубликовано 16 августа, 2013 Share Опубликовано 16 августа, 2013 Почитал. Местами позабавило. Например, Adobe Acrobat Update Service - это точно зловред? Чтобы точно узнать, необходимо отправить его в вирлаб. На второй же файл есть срабатывание и написано, что это не вирус (скорее какая-то реклама). Или рассказ, что в случае отключения "из лк юзеру по полной: все правила кнс, новости, новинки и прочий трешь заливается по полной" - вопрос такой задавали (на оф. форуме, кстати, некоторые сильно ругались получив ответ ), при отключении KSN файл проверяется по базам облака при проверке компьютера (или файла) и при работе файлового антивируса. Контроль программ отключается полностью. По поводу включения в базу чистых программ из-за внесения его (этого файла) в Доверенные пользователями, вот цитата из статьи: Например, если пользователь антивируса дает согласие на участие в Kaspersky Security Network (KSN), продукт начинает отправлять на серверы «Лаборатории Касперского» два типа метаданных:информацию о заражениях, либо атаках на пользователя; информацию о подозрительной активности исполняемых файлов на компьютере пользователя Источник.Вот это больше похоже на правду. Добавлю, на сколько я знаю, если программа имеет цифровую подпись, то автоматически добавляется в Доверенные (если конечно соответствующая настройка включена) и не проверяется её активность, а вот все остальные программы в обязательном порядке проверяются. Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 286 Опубликовано 16 августа, 2013 Share Опубликовано 16 августа, 2013 (изменено) тоже почитал, прям архизадачу себе поставили, подсунуть зловредную программу как довереную по база в KSТ. Я так понимаю, что от действий пользователя на своем компьютере, никакие ухищрения не заставят зловред стать доверенным. У меня было DLL на диске, лежал, никого не тревожил, просто хранилась и однажды по KSN стал получать угрозу UDS:Dangerous, мне понадобилось почти месяц, чтоб при очередном обновлении кэша контрольных сумм в KSN, убрали ложное срабатывание Изменено 16 августа, 2013 пользователем kmscom Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 18 августа, 2013 Share Опубликовано 18 августа, 2013 Значит такой вариант, имеем файл зловред без цифровой подписи который касперский еще не знает, но так как какое то количество мало знающих пользователей занесли его в доверенные KSN то касперский заносит этот файл автоматом в доверенные у всех остальных пользователей этой проги. Нет такого механизма. В Доверенные он не может попасть из-за доверия пользователей. А вот статистика "х% доверяют этой программе" будет. Если говорить более конкретно то все видно тут: http://safetygate.ru...36321#msg136321 Конкретно по ссылке я вижу реальный детект. Со стороны ЛК есть детект, со стороны пользователя должна быть голова и курсор на кнопке Удалить в алерте. Что не так? И да, на скриноте нет ни слова про группу Доверенные. Ну либо я не на те скриншоты смотрю. Цитата Ссылка на сообщение Поделиться на другие сайты
sergey888 61 Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 Umnik Вся проблема в том что я сам не полностью понимаю что там на этой куче скринов Но суть вопроса я описал в первом сообщении на который вы как раз и ответили. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.