Майнеры и KVRT

[thyrex]

21.06.2023 в 14:40, Viktor сказал:

21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

[Viktor]

Друзья, развернутый ответ по KVRT вы получите сегодня вечером, а пока буду рад ответить на любые другие ваши вопросы.

[Yury S.]

5 часов назад, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

 

Из словесного описания неясно что происходит. Запрошу логи.

 

5 часов назад, thyrex сказал:

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.

Про это я писал "Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др)". Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты. Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа. Пришлите список таких папок в личку - добавим их в лечение.

 

 

5 часов назад, thyrex сказал:

ни в ЛС, ни на оффоруме ничего писать не собираюсь

Тогда это жалоба ради жалобы. Улучшений волшебным образом не случится.
 

 

1 час назад, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb

К сожалению не понял к чему это. Напишите, пожалуйста, в личку детали.

[Vladislav P.]

Добрый день.

 

Проблемы, связанные с противодействием со стороны нежелательного ПО процессу установки продукта действительно бывают. Техники очень разные.

 

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами. Понимая, что обособленная утилита все равно понадобиться – решили сосредоточить силы именно на ней.

 

Когда мы говорим про механизмы противодействия AV решениям мы должны понимать, что AV вендоры тут действительно всегда в роли догоняющих -  нет никакого смысла выпускать в паблик зловреда, механизмы которого не работают в момент его публикации.

Специфика “догонять” в конкретном случае еще и в том, что о методах, которыми нам противодействуют, мы узнаем только по факту обращений пользователей в нашу поддержку. Другими словами – источников информации с помощью которых мы могли бы проактивно реагировать на такие техники крайне мало.

 

Попытки самостоятельного решения таких проблем приносят пользы меньше, чем могли бы: если бы конкретные проблемы должным образом оформлялись в виде обращений в службу поддержки, где они бы решались квалифицированными инженерами, то решения выливались бы в новые процедуры лечения, получаемые KVRT и KRD посредством обновлений антивирусных баз. Это приносило бы пользу всем, снимая нагрузку и с форума и с неравнодушных людей, желающих предоставить помощь.

 

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы. А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

 

Мы понимаем, что это очень чувствительная проблема и предлагаем дальнейшие работы по подобным кейсам вести следующим образом:

• со своей стороны мы готовы предоставить исчерпывающую инструкцию по сбору диагностической информации, необходимой инженерам для локализации и исправления проблем. 
  Ждем от вас предложений/пожеланий, кому предоставить/куда опубликовать инструкцию.
• собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки или сюда.
• в максимально сжатые сроки вы будете получать WA, а спустя некоторое время процедуры лечения в KVRT и KRD будут пополняться разобранными кейсами.

 

Спасибо.

 

С уважением, Владислав Пинтийский.

Руководитель отдела развития антивирусных технологий.

[mike 1]

1 час назад, Vladislav P. сказал:

А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

Всё что просил ваш коллега я дал и даже больше. Если что-то нужно ещё, то пишите в ЛС. 

[andrew75]

23.06.2023 в 17:20, Vladislav P. сказал:

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы.

  

22.06.2023 в 19:19, Yury S. сказал:

Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др).

Cудя по свежей статье в базе знаний, техподдержка обладает необходимой информацией для диагностирования и локализации данной проблемы.

 

[Friend]

23.06.2023 в 14:11, Yury S. сказал:

Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты.

Честно, я думаю, что антивирусная утилита должна чистить полностью все "хвосты" вируса, а не частично, даже если это как-то затрагивает конкурентов,  все-таки репутация важнее и я хотел бы, что после использование утилиты мне не приходилось запускать утилиту конкурента, чтобы дополнительно дочистить "хвосты" вируса или выполнять доп. действия.

23.06.2023 в 17:20, Vladislav P. сказал:

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами.

Очень плохо, все-таки для самых популярных проблем стоило решить в рамках инсталлятора.

  

23.06.2023 в 17:20, Vladislav P. сказал:

AV вендоры тут действительно всегда в роли догоняющих

Это понятно, но догонять нужно чуть-чуть быстрее, а не годами , хотя бы за месяца 2-3.

 

23.06.2023 в 17:20, Vladislav P. сказал:

KRD посредством обновлений антивирусных баз

Увы, KRD уже достаточно современные устройства просто не поддерживает, либо не грузиться, либо другая проблема... до обновления баз там не дойти.

 

23.06.2023 в 17:20, Vladislav P. сказал:

собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки

Наверно все-таки у вас должно быть достаточно диагностических данных для локализации этой проблемы, особенно которые обращаются по официальным каналам, как минимум Get System Info (GSI) пользователи присылают. Вот пример темы, где видно что на заднем фоне завершено сканирование утилиты, но при этом ошибка установки сохраняется:

https://forum.kaspersky.com/topic/не-устанавливается-34708

Можно еще посмотреть из этого раздела последние темы штук 20-30 и также заметите, что утилита не до конца все чистит последствия и не все детектирует, пример:

 

Изменено 26 июня, 2023 пользователем Friend

[thyrex]

@akoK уже отправил скачанный с торрента дроппер. Пусть изучают, может и с хэлперами поделятся результатами (но вероятность этого близка к нулю). Хотя за всё это время в компании могли бы потрудиться сами раздобыть образцы. В вирлабе куда больше возможностей, в т.ч. и по снятию протектора, которым защищены все последние версии майнера.

[regist]

21.06.2023 в 22:26, Friend сказал:

То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер.

Вообще-то этот майнер хелперам известен минимум с июня 2020.

Про скорость решения проблем с KVRT можно посмотреть на примере темы: https://forum.kaspersky.com/topic/не-могу-запустить-kvrt-28479/

Цитата

11 октября, 2022

зафиксировали проблему про блок по имени, а исправили только 25 мая 2023.

 

Насчёт того, что KVRT не может решить все проблемы в его защиту добавлю, что этот майнер действительно очень часто обновляется. При этом активно автором майнера отслеживаются наши утилиты и даже в коде майнера майнера встречались и оскорбления в наш адрес. В частности в адрес @Sandor

И порой вношу изменения в утилиту, а уже через два дня выходит новая версия майнера в которой эти изменения учтены. Учитывая скорость доработок KRVT то понятно, что с подобным он справиться не сможет.

 

А насчёт доп. информации за эти годы я не раз отправлял дропперы этого майнера в вирлаб. Так что образцы у них были, в том числе и знакомым аналитикам тоже скидывал и знаю, что его поведение изучали.

23.06.2023 в 14:11, Yury S. сказал:

Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа.

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

 

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.
Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

[Yury S.]

Апдейт по теме.

 

  

21.06.2023 в 22:26, Friend сказал:

большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.)

Написал разработчика продукта - проблему исправили. С KASPERSKY 21.14 права на папки будут восстанавливаться в инсталлере.

 

22.06.2023 в 08:26, andrew75 сказал:

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 

См выше. Почему ТП не смогла продавить изменения не знаю. Возможно было мало жалоб от платных пользователей.

 

21.06.2023 в 15:20, Friend сказал:

В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

Выглядит что статья устарела, т.к. "лишние телодвижения" сейчас выполняются автоматом в KVRT. Возможно исправим статью.

 

 

23.06.2023 в 12:33, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb

Разобрались в личке, был недетект BAT файла. Исправили и доработали автодетект.

 

 

23.06.2023 в 08:13, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

 

26.06.2023 в 15:49, Friend сказал:

Увы, KRD уже достаточно современные устройства просто не поддерживает, либо не грузиться, либо другая проблема... до обновления баз там не дойти.

В конце года планируем выпуск новой версии KRD. Наверняка будет бета тестирование, следите за анонсами.
 

 

7 часов назад, regist сказал:

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

Добавили в KVRT лечение папки AutoLogger и других лечащих утилит, которые используются на этом форуме. Уже доступно в публичном KVRT.
 

 

7 часов назад, regist сказал:

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.

Сейчас AVZ не входит в KVRT.

 

 

7 часов назад, regist сказал:

Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

Напишу Олегу.

 

Изменено 29 июня, 2023 пользователем Yury S.

[thyrex]

42 минуты назад, Yury S. сказал:

Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

Очень сомневаюсь, что этот инсталлятор имеет функционал дроппера, который меняет настройки системы. Даже если и встречается в темах с майнером. Дело было в том "мусоре" для сторонних АВ-решений, с которым практически справился AVBR.

 

Меня больше интересует, получилось ли снять обертку Themida и получить оригинал AutoIt-скрипта.

[regist]

По этому майнеру есть ещё версия которая отбирает права у пользователей и единственная учётка с правами админа остаётся учётка Джона.
В этом случае продукты ЛК получается вообще бесполезны, в том числе и KRD и опять остаётся надежда только на самопальные Live CD.

А в KRD похоже даже редактор реестра убрали :(.

 

[kmscom]

18 минут назад, regist сказал:

А в KRD похоже даже редактор реестра убрали :(.

вот же https://support.kaspersky.ru/krd18/tools/14236

[thyrex]

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Неужели так трудно проверять задачи Планировщика и настроить эвристику на подозрительные батники?

[Friend]

19.08.2023 в 16:09, thyrex сказал:

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

@regist  будет доработана утилита с учетом "новых" фишек майнера?