Перейти к содержанию

О усовершенствовании антивируса

poporr
 Share

Рекомендуемые сообщения

poporr Новичок

poporr

Опубликовано
Опубликовано

Здравствуйте, Уважаемый Евгений Валентинович.

Вопрос следующий: я недавно столкнулся с несколькими модификациями где с недели три назад Hexzone.vv ( точнее порно-баннер) , которые пропустил антивирус Касперского, ЕДИНСТВЕННЫЙ кто его выловил это курейт, со своей технологией tracing origin, кстати пресловутый нод пропустил, никакая его "фирминная эвристика" не помогла, ну и у Касперского эвристик тоже не сработал версия 2009, так вот в связи с этим вопрос:

Можно ли ввести что - то подобное в антивирус tracing origin, чтобы не заносить в базы одну за другой мофикации вирусов? Будет ли это реализовано?

Спасибо!

Ссылка на комментарий
Поделиться на другие сайты
Alexey Malanov Новичок

Alexey Malanov

Опубликовано
Опубликовано

Спасибо за вопрос. Важно понимать, что уровень детектирования неизвестных угроз напрямую завязан на количество ложных срабатываний. У Антивируса Касперского 2009 есть фича AVZ Security Rating, которая имеет похожий тип работы. Так же постоянно ведутся разработки новых модулей, чтобы детектировать еще больше угроз несигнатурно.

Ссылка на комментарий
Поделиться на другие сайты
poporr Новичок

poporr

Опубликовано
  • Автор
Опубликовано
Идея понятна - будем обсуждать в вир-лабе.

Спасибо за ответ. Вот еще что я к сожалению пока антивирус удалил т.к. возникают синие экраны , указывающие на конфликт драйверов либо оборудования, но при установке другого антивируса такого не происходит, я попробую его установить после переустановки системы, надеюсь что проблема решится.

 

Спасибо за вопрос. Важно понимать, что уровень детектирования неизвестных угроз напрямую завязан на количество ложных срабатываний. У Антивируса Касперского 2009 есть фича AVZ Security Rating, которая имеет похожий тип работы. Так же постоянно ведутся разработки новых модулей, чтобы детектировать еще больше угроз несигнатурно.

Да, спасибо, я все это понимаю, но факт остается фактом, решить бы проблему с обнаружением модификаций трояна Hexzone.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IStogov
      Почему не другой антивирус?
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • Ari_x_100
      Не устанавливается антивирус
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Genom45
      Не устанавливаются антивирусы
      От Genom45
      Приветствую, перепробовал все возможные портейбл версии антивирусов, AVbr просто не запускается, касперский выдал пару вирусов, тоже сделал и curiet. Проблема осталась 
       
    • igrok52
      Антивирус для Android вопросы
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • KL FC Bot
      Усовершенствования KUMA SIEM за 2 квартал 2024 года
      От KL FC Bot
      В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых  злоумышленниками.
      Как злоумышленники отключают или модифицируют локальный межсетевой экран
      Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
      Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
      netsh firewall add allowedprogram netsh firewall set opmode mode=disable netsh advfirewall set currentprofile state off netsh advfirewall set allprofiles state off
      Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:
      HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
      Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
      Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
      Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:
      net stop mpssvc Как наше SIEM-решение выявляет T1562.004
      Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
      остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений; отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe); изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows); отключения злоумышленником локального межсетевого экрана через реестр; манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.
       
      View the full article
×
×
  • Создать...