SafeGroup

Test programu zabezpieczającego Kaspersky IS 2013:

[Aby zobaczyć linki, zarejestruj się tutaj]

!!! Przepuścił Ukasha? Niedobrze. Coś mi się wydaje, że v2013 ze zmienionym HIPs-em jest mniej sktuteczny. W Malware labie już była sytuacja: próbka niewykrywana sygnaturami. Uruchomienie- KIS 2012 daje komunikat. KIS 2013 przepuszcza bez zająknięcia.

No niefajnie. Większość osób ustawień nie zmienia, a ten wirus jest popularny.

kamil10506 napisał(a):!!! Przepuścił Ukasha?

Kłania się tryb interaktywny (manualny):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kod tego malware jest tak zagmatwany, że kasper 2013 się wykłada w trybie automatycznym, musi człowiek wkroczyć.
Zauważyłem to już jak go testowałem z 2-3 miesiące temu, na tych samych próbkach niewykrywalnych KIS2012 lepiej reagował HIPSem i to w trybie automatycznym (ale to nie był Celas2).

Dlatego ten wirus będzie kosił i to równo. Jest bardzo powszechny .

Przed chwilą sprawdzałem na KIS2012 w trybie automatycznym, tez wpuścił (zaznaczyłem wszystko w proactiv).

Jeszcze nie zrobili sygnatury dla tego syfka :/

Trzeba sprawdzić wiecej popularnych programów. Zakładałem już temat o tym wirusie, ale na tamtej próbce kaspersky zachowywał się inaczej.

Może była całkiem inna próbka a też Celas2, masz porównanie po haszu?

Wiadomo, że stosują różne techniki pakerów/ukrywania.

Fakepolicyalert jest opisany w temacie, ale już jej nie mam. To trochę bardziej skomplikowanie to wszystko wygląda. Wychodzi na to, że trzeba będzie uczyć ludzi obsługi hipsa czego ja sobie nawet nie wyobrażam albo tak jak mi napisał gość z Mcafee - przywracać system .

Trzeba powiedzieć ze np. Celas2 nie równa się innemu Celas2. Zastosuje inna technikę custom packera i już problem gotowy.

KIS2012 w trybie manualnym, tak jak 2013, wszystko zależy od decyzji człowieka; najrozsądniej było by dać "Block now" jak nie znamy programu, nie ma podpisu cyfrowego i wysłać plik do analizy, czekając na potwierdzenie czy malware, czy nie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jaki z tego wniosek? Jak ktoś posiada kaspra, to po zainstalowaniu zrobić Full scan, pouruchamiać swoje zaufane programy (niech powciąga je na listę zaufanych), restart, a potem przełączyć na tryb manulany (interaktywny), własne podejmowanie decycji:

[Aby zobaczyć linki, zarejestruj się tutaj]

Możesz wydzielić tę próbkę z paczki i wrzucić ją do malwarelab?

OK, wrzucam do malwarelab:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki przyda mi się i to bardzo.

Ale napiszę jeszcze raz:
- Tryb automatyczny . Najlepszy na świeży system, przy wszelakich skanowaniach paczek (Custom scan), Quick Scan, albo Full Scan systemu najlepiej sprawdza się tryb automatyczny, bo to co ma wykryć i tak wykryje, automatycznie wszystko wrzuci do kwarantanny. Tu nie ma nic ważnego z podejmowaniem decyzji (zaglądamy do kwarantanny i można przywrócić jakby co) i co najważniejsze o nic program się nie zapyta (trzeba dobić/skasować jak nie chcemy jeszcze PUP, PUA, adware; klik na okno główne i skasować).
- Tryb manualny . Najlepiej zastosować dopiero po pełnym skanie systemu i po uruchomieniu swoich wszystkich zaufanych programów. Kasper wszystko powciaga na swoje zaufane listy. Oczywiście jak mamy jakiś zaufany wcześniej program do zainstalowania to żeby nie męczyć HIPSa kaspra, dajemy tymczasowo tryb automatyczny, a po tej operacji przełączamy z powrotem na tryb manualny.

Ale znając trochę życie, to większość myśli żeby się samo robiło bez żadnego wysiłku (tryb automatic)


Chociaż z tego co Eugene Kaspersky mówi to 90% syfu światowego tłucze ich automat w Moskwie i też KSN Network sie do tego teraz bardziej przyczynia, reszta do zasługa "dzięciołów", ludzi, którzy 24/h ze zmianami 12h, "wyłuskują" resztę malware m.in. z email/poczty, przysyłanych do nich próbek.

No tak tym bardziej, że nikt sobie specjalnie na komputer wirusa nie ściąga, więc w hips też pewnie będą zezwolenia. No bo kto się niby domyśli, że pobrany plik to jakiś celas? Uznają za błąd av. Głupoty się nie wyleczy:-) Natomiast f secure wykrywa tego wirusa heurystyką automatycznie, więc da się.

A przecież to dział o kasprze, nie piszemy tu co co F-Secure puszcza A myślisz, ze nie puszcza?

No właśnie dział o Kasprze. Ale warto odnieść się też do innych aplikacji czasem w przypadku masakrycznych wirusów. Każdy program puszcza. Grunt żeby to się zdarzało nieczęsto.

Jest jeszcze inny sposób na to żeby Kaspersky zablokował działanie takiego Ransoma i jest on mniej upierdliwy niż tryb manualny. Mianowicie można ustawić żeby Kaspersky wszystkie nieznane aplikacje przydzielał do grupy: "Wysoki poziom ograniczeń"

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Co prawda Ransom się uruchomi i nie będzie dostępu do pulpitu ale tylko do momentu restartu. Po ponownym uruchomieniu systemu wirus już się nie pojawi ze względu na to, że Kaspersky zablokuje mu możliwość dodania się do autostartu. Dzieje się tak właśnie dlatego, że aplikacja została umieszczona w grupie "Wysoki poziom ograniczeń".

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki za info F4z

Dodano: 06 sie 2012, 23:20

Test był wykonywany kilka dni temu , a Kaspersky dalej nie wykrywa wpuszczonego wirusa Ciągle można go uruchamiać na domyslnych ustawieniach...

Cytat: Test był wykonywany kilka dni temu , a Kaspersky dalej nie wykrywa wpuszczonego wirusa Ciągle można go uruchamiać na domyslnych ustawieniach...

Możesz otwierać szampana:


Widocznie dużo czasu zajęło im to zagrożenie. Dodać plik żeby był wykrywalny to pikuś, najdłużej pewnie schodzi na przeanalizowanie co robi ten malware i zrobienie odpowiedniej szczepionki (cofnięcie zmian, całkowite wyleczenie)
Chociaż swoja drogą powinni wrzucić chociaż do baz na początek jako UDS:Generic