33 ответов в этой теме

[WAJIM]

Отключил защиту от эксплойтов и вымогателей - эффект нулевой.

Помогает только отключение поведенческого анализа.

Похоже, что exploitable_driver не подчиняется правилам HIPS.

Прикрепленные файлы:

•  Clip.png   51,16К   0 Скачано раз

Сообщение было изменено WAJIM: 02 Ноябрь 2024 - 12:40

[maxic]

А сам WinRing0.sys добавляли в исключения?

[Alexander007]

WAJIM

 

По моему - срабатывание превентивная - цель защищать от вымогателей и эксплойтов .  Поскольку она давно известна в базе .

 

Проблему решить можно через Техническую поддержку .

Сообщение было изменено Alexander007: 02 Ноябрь 2024 - 13:26

[WAJIM]

WinRing0.sys не добавлял в исключения, это же не приложение, sys-файлы не видно в окне выбора файлов.

 

Вот ссылки на VT:

https://www.virustotal.com/gui/file/206ee7a7c3f4d9496f742ccb84718f556ecb4ba2a95fe7e0cdf3a003ffbe4597

https://www.virustotal.com/gui/file/8edb4338883cb12d730ea1827c8e232b4a1562e207c5af26b0d8d86e4b3f2269

https://www.virustotal.com/gui/file/876a2d068d3d361edbd7e7907b3f737d8ece12c0d217c740fd92ab0733aec90b

[Alexander007]

WinRing0.sys не добавлял в исключения, это же не приложение, sys-файлы не видно в окне выбора файлов.

 

Вот ссылки на VT:

https://www.virustotal.com/gui/file/206ee7a7c3f4d9496f742ccb84718f556ecb4ba2a95fe7e0cdf3a003ffbe4597

https://www.virustotal.com/gui/file/8edb4338883cb12d730ea1827c8e232b4a1562e207c5af26b0d8d86e4b3f2269

https://www.virustotal.com/gui/file/876a2d068d3d361edbd7e7907b3f737d8ece12c0d217c740fd92ab0733aec90b

3 файлы - все ясно , это уже ложное срабатывание - вам нужно писать в саппорт , так видно что файл чист и пуст .

Dr.Web DPH - скорее всего  , не верно детектируется - это ошибочный детект . 

Сообщение было изменено Alexander007: 02 Ноябрь 2024 - 14:07

[VVS]

WAJIM, IMHO ошибка в докторе.

Обратитесь, пожалуйста, в ТП.

[WAJIM]

Поставил компонент Spider Guard, добавил в исключения приложение WinRing0SampleCpp.exe и все заработало!
Удалил компонент Spider Guard и опять началось срабатывание по DPH, ведь исключения по приложениям пропали (в реестре остались, но не действуют).
Это эпик фейл!

В суппорт написал...

Сообщение было изменено WAJIM: 02 Ноябрь 2024 - 17:41

[WAJIM]

Проблему в суппорте решили отключением в реестре эвристики по подозрительному софту.

Решение такое себе...

[Alexander007]

Проблему в суппорте решили отключением в реестре эвристики по подозрительному софту.

Решение такое себе...

Cкорее всего саппорты не правильно посчитал - надо еще раз написать "претензии" , должно найти решение . В Virustotal - все ясно показывает что чист , а саппорт иногда ошибаются - не посмотрев , хеши разные  и поведение по эвристику не должен реагировать софту - если он чист .  

Сообщение было изменено Alexander007: 02 Ноябрь 2024 - 22:56

[WAJIM]

Вот что ответили:

Детект DPH:Trojan.SoftLoader описывает потенциально опасное ПО, нужен чтобы не давать неизвестным исполняемым файлам использовать известные потенциально уязвимые драйвера. Это очень частая техника, которая используется при взломе ПК, чтобы например запустить какие-то другие вредоносные действия.
Используемый файл WinRing0SampleCpp.exe не имеет цифровой подписи, при запуске программы происходит попытка неизвестным процессом (без подписи) задействовать потенциально опасный драйвер, на это срабатывает превентивная защита, реакция не является ложной.

Ну и дальше пошли попытки добавления в исключения...

[Ivan Korolev]

Действительно, почему мы не даем всем подряд использовать уязвимый драйвер... 

[Ivan Korolev]

Cкорее всего саппорты не правильно посчитал - надо еще раз написать "претензии" , должно найти решение . В Virustotal - все ясно показывает что чист , а саппорт иногда ошибаются - не посмотрев , хеши разные  и поведение по эвристику не должен реагировать софту - если он чист .

 

А еще бывает полезным подумать, прежде чем строчить куда-то "претензии". Например, как связано отсутствие сигнатурных детектов на файлах с анализом поведения ? ...

[WAJIM]

Ну да, проприетарные драйвера от hwinfo32/aida64 значит пропускать можно, а драйвер с открытыми исходниками и с валидной подписью - нельзя.

Это другое (с)

[VVS]

Ну да, проприетарные драйвера от hwinfo32/aida64 значит пропускать можно, а драйвер с открытыми исходниками и с валидной подписью - нельзя.
Это другое (с)

 
Советую перечитывать ответ ТП до тех пор, пока он не станет Вам понятен:

Детект DPH:Trojan.SoftLoader описывает потенциально опасное ПО, нужен чтобы не давать неизвестным исполняемым файлам использовать известные потенциально уязвимые драйвера. Это очень частая техника, которая используется при взломе ПК, чтобы например запустить какие-то другие вредоносные действия.
Используемый файл WinRing0SampleCpp.exe не имеет цифровой подписи, при запуске программы происходит попытка неизвестным процессом (без подписи) задействовать потенциально опасный драйвер, на это срабатывает превентивная защита, реакция не является ложной.

Ответ дан.
Тема закрыта.
Модератор.