Авторизация
Ник
Пароль:
      
Вирусы
Список конференций  Список ТемСоздать новую тему  Добавить свой ответ
VirusHunter (Администратор)
Проблема детектирования вредоносных объектов под общим номенклатурным названием UDS:DangerousObject.Multi.Generic в Антивирусе Касперского  
6 октября обнаружил сбой сканирования, который заключается в неработоспособности механизма эвристического сигнатурного распознания вредоносного кода под общим номенклатурным названием UDS:DangerousObject.Multi.Generic. Заключается он в том, что никакие вредоносные программы, детектирование которых было переведено на данный механизм фиксации, продукты линейки Касперского, на данный момент, не обнаруживаются сигнатурным сканером. При этом в продуктах Антивируса-Фаерволла ZoneAlarm, который также использует антивирусный движок от Касперского, данный сбой не наблюдается - там вирусы обнаруживаются данным механизмом без каких-либо проблем.
Информация о сбое уже передана в ЛК, так что пользователям линеек Антивируса Касперского необходимо просто немного подождать, пока причина сбоя будет найдена и проблему устранят.
 06.10.2019 12:40 
luc4luch (Ученик)
 
спасибо за расшифровку, а то вообще не смыслила в этом.
 08.10.2019 12:25 
VirusHunter (Администратор)
 
Пожалуйста.)) Если Вам интересно, это т.н. "паковочный" эвристик - он фиксит многоуровневые модификации навесной защиты (компрессоры, модификаторы кода, крипторы и т.п.) - и если в файле использовано значительное количество таких модификаций - механизм покажет, что файл является подозрительным. Подобный механизм, как я понимаю, основывается на анализе большого количества вредоносных программ с подобного рода методами сокрытия оригинального кода.
Кстати, на текущий момент, механизм уже частично заработал: из 88 анализируемых вредоносных файлов с данным вердиктом уже начали снова детектироваться 62шт (на момент сбоя вообще никакие не фиксились антивирусом, вчера начали 55шт снова обнаруживаться). Т.е., механизм явно восстанавливают, но, очевидно, на это нужно некоторое время.
 08.10.2019 16:44 
VirusHunter (Администратор)
 
Сегодня случайным образом, переписываясь с ЛК, нашел корень проблемы: оказывается Антивирус Касперского таки фиксирует UDS-объекты, но некорректным образом: при сканировании выдаёт на экран, что такие объекты - чистые и угроз в них не обнаружено, но при этом в отчёт записывает их как инфицированные вирусом UDS... Однако в отчёте таковые отображаются инфицированными только в том случае, если при проверке заданной области компьютера был найден хотя бы один вредоносный файл с детекшеном, отличным от UDS... (т.е., с другим типом угрозы). С вредоносными файлами, которые детектируются другими типами эвристических механизмов или под конкретными номенклатурными названиями (т.е., другие типы угроз), такой проблемы нет. Скорее всего, по данной причине вредоносные UDS-объекты отображаются и на сайте VirusTotal как чистые для Антивируса Касперского (т.к. последний передаёт на него некорректную информацию, аналогичную и выводимой в окне сканирования на компьютере пользователя о якобы чистых объектах). Антивирус-Фаерволл ZoneAlarm (который также использует антивирусный движок Касперского) такой проблемы не имеет.
 09.10.2019 15:54 
VirusHunter (Администратор)
 
Детекшены вредоносных UDS... Касперского с сегодняшнего дня уже корректно отображаются на сайте VirusTotal, а вот с антивирусными продуктами проблема всё ещё актуальна.
 11.10.2019 19:57 
VirusHunter (Администратор)
 
На данный момент, ситуация с детектированием UDS... оказалась критической: последний релиз утилиты KVRT (Kaspersky Virus Removal Tool) версии 15.0.22.0 вообще не видит угроз в таких файлах, и даже не пишет о них в логах... Из этого можно сделать вывод, что проблема, скорее всего, затронула все линейки продуктов Касперского. Информацию о масштабности проблемы передал и в ЛК, и в Службу Поддержки.
 17.10.2019 17:41 
VirusHunter (Администратор)
 
Вчера установил причину сбоя детекшенов UDS: их перенесли в виртуальный (сетевой) сервис KSN (Kaspersky Security Network). В утилите KVRT данные сигнатуры будут подключаться через сеть только при наличии активного Интернет-подключения на момент запуска утилиты. В Антивирусе Касперского 2015 сервис KSN, как показал вчерашний тест, функционирует в двух случаях (при обоих компьютер должен быть подключен к сети Интернет):

1. При включенном сервисе KSN в настройках антивируса;

2. При наличии включённого компонента защиты антивирусного монитора (поточного сканера всех запускаемых файлов) - тогда связь с сервисом KSN  в сети происходит автоматически (даже при отключенном KSN в настройках антивируса).

При этом, для Выборочной или Полной проверки компьютера сервис KSN должен быть обязательно включен (иначе UDS-объекты определяться сканером не будут).
Также похоже на то, что для корректного подключения к KSN в данной линейке антивируса (возможно, что и в более поздних) при работе с режимами Выборочной и полной проверок данный сервис защиты нужно обязательно подключать ещё во время установки программы антивируса, т.к. простое включение данного сервиса через настройки антивируса - без предварительной установки такового - может и не иметь позитивного результата.
 22.10.2019 09:29 
VirusHunter (Администратор)
 
Всем привет. Вобщем, опишу для продвинутых пользователей проблему более подробно. В своё время, эвристик UDS предполагал обнаружение новых вредоносных файлов при помощи специального анализа упаковки файлов - т.е., если файл имел много навесных защит (пакеры, крипторы, оптимизаторы и пр.), то эвристик предупреждал пользователя о том, что данный файл имеет многократно модифицированный код и может быть потенциально опасным. Конечно, такой способ детектирования давал и ложные срабатывания, но и очень часто предугадывал реально вредоносные файлы. Затем ЛК изучала файлы, на которые указывал эвристик UDS, и либо исключала их из списка подозреваемых, корректируя механизм UDS-анализатора антивирусных сканеров, либо выпускала сигнатуры для детектирования таких объектов под конкретными номенклатурными названиями по своей базе. Это, как и с прочими эвристическими механизмами предупреждения ещё неизвестных вредоносных объектов, был корректный и самый надёжный способ регистрирования вредоносов. Но картина в корне изменилась с, примерно, середины 2018 года. Помимо внедрения ряда новшеств в механизмах детектирования вредоносов, изменения (как показало моё тестирование) затронули и подход к механизму UDS-детектирования. Оказалось, что с уникальных рекорд в антивирусной базе на него зачем-то начали переводить различные вредоносные программы, которые были известны значительное время (а многие - и не один десяток лет). Как результат, под детектирование UDS попали не только троянские программы, но и инфицированные различными файловыми вирусами программные файлы. К тому же, с середины 2019 года UDS-детектирование перенесли из локальной антивирусной базы, хранящейся вместе с установленным антивирусом в компьютерах пользователей, в онлайн - в сервис KSN (Kaspersky Security Network), который до этого подключать было необязательно, ведь он был предназначен исключительно для выявления и пересылки на сервер антивирусной компании файлов с подозрительным кодом. Теперь же, когда часть антивирусной базы вынесли в онлайн, пользователь становится подвержен риску заражения и даже потери части информации на компьютере по следующим причинам:


1. Само по себе название UDS никоим образом не раскрывает типа угрозы, которая содержится в файле - Вы не знаете, что там: вирус, троянская программа, эдвара или ещё что-то, соответственно какие дополнительные действия и меры безопасности нужно принять после её удаления - неизвестно (ранее по типу вредоносной программы можно было понять характер заражения и что с компьютера было, например, похищено - скажем, пароли к почте, или соц. сетям и т.п.);


2. Объекты UDS лечению не подлежат, а только удалению - а это значит, что если мы имеем в компьютере зараженный файл, который можно было бы вылечить, то он будет удалён антивирусом без суда и следствия;


3. При пролечивании компьютера, который является частью офисной сетки, антивирус сможет использовать только локальную базу - все сетевые соединения и Интернет в частности необходимо при пролечивании обязательно отключать (иначе во время лечения тот же файловый вирус будет продолжать перебегать с компьюера на компьютер и сможет скачивать свои обновления из сети - т.е., попытки лечения ни к чему не приведут) - а это значит, что UDS к антивирусной базе не сможет быть подключен и часть вредоносных объектов будут определяться антивирусом как чистые.


Если бы на этом всё негативное с UDS и заканчивалось - это было бы ещё полбеды. Но есть и ещё один момент, который я не хочу сейчас описывать по ряду причин. Достаточно будет сказать, что UDS позволяет выявлять опасные файлы, в основном, только уже по ходу их запуска, а при обычной проверке компьютера - сканировании всех дисков или выборочных областей - такие объекты не смогут быть определены как опасные и в отчёте антивируса о них ничего упомянуто не будет.
 02.11.2019 11:39 

Пришло время электрокаров!
Новости, обзоры, видео, все об электромобилях Tesla на форуме TeslaTime.com.ua.


Добро пожаловать на наш Компьютерный Форум. Здесь Вы можете задавать свои вопросы касательно работы компьютера и его комплектующих, программного обеспечения и софта.
Всегда рады Вам помочь!!!
Rambler's Top100

0.019397974014282