Перейти к содержанию

Майнеры и KVRT


Рекомендуемые сообщения

21.06.2023 в 14:40, Viktor сказал:
21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

 

Из словесного описания неясно что происходит. Запрошу логи.

 

5 часов назад, thyrex сказал:

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.


Про это я писал "Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др)". Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты. Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа. Пришлите список таких папок в личку - добавим их в лечение.

 

 

5 часов назад, thyrex сказал:

ни в ЛС, ни на оффоруме ничего писать не собираюсь


Тогда это жалоба ради жалобы. Улучшений волшебным образом не случится.
 

 

1 час назад, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb


К сожалению не понял к чему это. Напишите, пожалуйста, в личку детали.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

 

Проблемы, связанные с противодействием со стороны нежелательного ПО процессу установки продукта действительно бывают. Техники очень разные.

 

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами. Понимая, что обособленная утилита все равно понадобиться – решили сосредоточить силы именно на ней.

 

Когда мы говорим про механизмы противодействия AV решениям мы должны понимать, что AV вендоры тут действительно всегда в роли догоняющих -  нет никакого смысла выпускать в паблик зловреда, механизмы которого не работают в момент его публикации.

Специфика “догонять” в конкретном случае еще и в том, что о методах, которыми нам противодействуют, мы узнаем только по факту обращений пользователей в нашу поддержку. Другими словами – источников информации с помощью которых мы могли бы проактивно реагировать на такие техники крайне мало.

 

Попытки самостоятельного решения таких проблем приносят пользы меньше, чем могли бы: если бы конкретные проблемы должным образом оформлялись в виде обращений в службу поддержки, где они бы решались квалифицированными инженерами, то решения выливались бы в новые процедуры лечения, получаемые KVRT и KRD посредством обновлений антивирусных баз. Это приносило бы пользу всем, снимая нагрузку и с форума и с неравнодушных людей, желающих предоставить помощь.

 

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы. А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

 

Мы понимаем, что это очень чувствительная проблема и предлагаем дальнейшие работы по подобным кейсам вести следующим образом:

  • со своей стороны мы готовы предоставить исчерпывающую инструкцию по сбору диагностической информации, необходимой инженерам для локализации и исправления проблем. 
    Ждем от вас предложений/пожеланий, кому предоставить/куда опубликовать инструкцию.
  • собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки или сюда.
  • в максимально сжатые сроки вы будете получать WA, а спустя некоторое время процедуры лечения в KVRT и KRD будут пополняться разобранными кейсами.

 

Спасибо.

 

С уважением, Владислав Пинтийский.

Руководитель отдела развития антивирусных технологий.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Vladislav P. сказал:

А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

Всё что просил ваш коллега я дал и даже больше. Если что-то нужно ещё, то пишите в ЛС. 

Ссылка на комментарий
Поделиться на другие сайты

23.06.2023 в 17:20, Vladislav P. сказал:

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы.

  

22.06.2023 в 19:19, Yury S. сказал:

Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др).

Cудя по свежей статье в базе знаний, техподдержка обладает необходимой информацией для диагностирования и локализации данной проблемы.

 

Ссылка на комментарий
Поделиться на другие сайты

23.06.2023 в 14:11, Yury S. сказал:

Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты.

Честно, я думаю, что антивирусная утилита должна чистить полностью все "хвосты" вируса, а не частично, даже если это как-то затрагивает конкурентов,  все-таки репутация важнее и я хотел бы, что после использование утилиты мне не приходилось запускать утилиту конкурента, чтобы дополнительно дочистить "хвосты" вируса или выполнять доп. действия.

23.06.2023 в 17:20, Vladislav P. сказал:

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами.

Очень плохо, все-таки для самых популярных проблем стоило решить в рамках инсталлятора. :(

  

23.06.2023 в 17:20, Vladislav P. сказал:

AV вендоры тут действительно всегда в роли догоняющих

Это понятно, но догонять нужно чуть-чуть быстрее, а не годами ;), хотя бы за месяца 2-3.

 

23.06.2023 в 17:20, Vladislav P. сказал:

KRD посредством обновлений антивирусных баз

Увы, KRD уже достаточно современные устройства просто не поддерживает, либо не грузиться, либо другая проблема... до обновления баз там не дойти.

 

23.06.2023 в 17:20, Vladislav P. сказал:

собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки

Наверно все-таки у вас должно быть достаточно диагностических данных для локализации этой проблемы, особенно которые обращаются по официальным каналам, как минимум Get System Info (GSI) пользователи присылают. Вот пример темы, где видно что на заднем фоне завершено сканирование утилиты, но при этом ошибка установки сохраняется:

https://forum.kaspersky.com/topic/не-устанавливается-34708

Можно еще посмотреть из этого раздела последние темы штук 20-30 и также заметите, что утилита не до конца все чистит последствия и не все детектирует, пример:

 

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты

@akoK уже отправил скачанный с торрента дроппер. Пусть изучают, может и с хэлперами поделятся результатами (но вероятность этого близка к нулю). Хотя за всё это время в компании могли бы потрудиться сами раздобыть образцы. В вирлабе куда больше возможностей, в т.ч. и по снятию протектора, которым защищены все последние версии майнера.

Ссылка на комментарий
Поделиться на другие сайты

21.06.2023 в 22:26, Friend сказал:

То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер.

Вообще-то этот майнер хелперам известен минимум с июня 2020.

Про скорость решения проблем с KVRT можно посмотреть на примере темы: https://forum.kaspersky.com/topic/не-могу-запустить-kvrt-28479/

Цитата

зафиксировали проблему про блок по имени, а исправили только 25 мая 2023.

 

Насчёт того, что KVRT не может решить все проблемы в его защиту добавлю, что этот майнер действительно очень часто обновляется. При этом активно автором майнера отслеживаются наши утилиты и даже в коде майнера майнера встречались и оскорбления в наш адрес. В частности в адрес @Sandor

И порой вношу изменения в утилиту, а уже через два дня выходит новая версия майнера в которой эти изменения учтены. Учитывая скорость доработок KRVT то понятно, что с подобным он справиться не сможет.

 

А насчёт доп. информации за эти годы я не раз отправлял дропперы этого майнера в вирлаб. Так что образцы у них были, в том числе и знакомым аналитикам тоже скидывал и знаю, что его поведение изучали.

23.06.2023 в 14:11, Yury S. сказал:

Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа.

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

 

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.
Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Апдейт по теме.

 

  

21.06.2023 в 22:26, Friend сказал:

большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.)


Написал разработчика продукта - проблему исправили. С KASPERSKY 21.14 права на папки будут восстанавливаться в инсталлере.

 

22.06.2023 в 08:26, andrew75 сказал:

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 


См выше. Почему ТП не смогла продавить изменения не знаю. Возможно было мало жалоб от платных пользователей.


 

21.06.2023 в 15:20, Friend сказал:

В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.


Выглядит что статья устарела, т.к. "лишние телодвижения" сейчас выполняются автоматом в KVRT. Возможно исправим статью.

 

 

23.06.2023 в 12:33, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb


Разобрались в личке, был недетект BAT файла. Исправили и доработали автодетект.

 

 

23.06.2023 в 08:13, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.


Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

 

26.06.2023 в 15:49, Friend сказал:


В конце года планируем выпуск новой версии KRD. Наверняка будет бета тестирование, следите за анонсами.
 

 

7 часов назад, regist сказал:

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.


Добавили в KVRT лечение папки AutoLogger и других лечащих утилит, которые используются на этом форуме. Уже доступно в публичном KVRT.
 

 

7 часов назад, regist сказал:

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.


Сейчас AVZ не входит в KVRT.

 

 

7 часов назад, regist сказал:

Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.


Напишу Олегу.

 

Изменено пользователем Yury S.
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

42 минуты назад, Yury S. сказал:

Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

Очень сомневаюсь, что этот инсталлятор имеет функционал дроппера, который меняет настройки системы. Даже если и встречается в темах с майнером. Дело было в том "мусоре" для сторонних АВ-решений, с которым практически справился AVBR.

 

Меня больше интересует, получилось ли снять обертку Themida и получить оригинал AutoIt-скрипта.

Ссылка на комментарий
Поделиться на другие сайты

По этому майнеру есть ещё версия которая отбирает права у пользователей и единственная учётка с правами админа остаётся учётка Джона.
В этом случае продукты ЛК получается вообще бесполезны, в том числе и KRD и опять остаётся надежда только на самопальные Live CD.

А в KRD похоже даже редактор реестра убрали :(.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Неужели так трудно проверять задачи Планировщика и настроить эвристику на подозрительные батники?

  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

19.08.2023 в 16:09, thyrex сказал:

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

@regist  будет доработана утилита с учетом "новых" фишек майнера?

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sergei Lomov
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Cybermancubus
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
×
×
  • Создать...