Simple-Scada forum

Simple-Scada 2 => Ваши вопросы => Тема начата: Banzai от 07 Июля 2022, 11:33:08

Название: Антивирусная проверка
Отправлено: Banzai от 07 Июля 2022, 11:33:08

Добрый день. У нас на предприятии используется Simple-Scada 2, имеются два активных ключа лицензии.
Позавчера, при обновлении версии скады, KICS заругался на файл sscmonitor.exe. Что это за файл, что он делает? Не хотелось бы объясняться в ФСТЭК и писать кучу бумаг безопасникам об инциденте в критически значимом сегменте.
Не могли бы вы связаться с касперскими, чтобы внести его в исключения?

Название: Re: Антивирусная проверка
Отправлено: Simple_Scada от 07 Июля 2022, 12:32:38

Здравствуйте.

Любой антивирус имеет ложные срабатывания (https://support.kaspersky.ru/viruses/answers/1870) - подробнее см. по ссылке (https://simple-scada.com/help/manual/faq-other.html?anchor=q2). При возникновении подозрений на наличие в ПО вируса, необходимо выполнить проверку ПО на ресурсах, позволяющих проверить ПО множеством антивирусов одновременно, например на сайте Virustotal (https://www.virustotal.com/ru). Результат сканирования версии 2.6.2.1 различными антивирусами можно просмотреть по ссылке (https://www.virustotal.com/gui/file/bd6641d5c7ef72c1b1b3e223af836e22ee0b431bdbcdebf320c233eea135d229). Результат сканирования sscmonitor.exe доступен по этой ссылке (https://www.virustotal.com/gui/file/1cc6891f5dd302f9454cea308e9c167e823aee1a1f307f5e309a4750277b2a8a?nocache=1) и он не определяется Касперским как вирус, ни на virustotal, ни на наших ПК (с последними базами антивируса). Все версии Simple-Scada перед публикацией отправляются в Лабораторию Касперского для проверки и добавления в "белый список" антивируса. Рекомендуем обновить базы антивируса, вероятнее всего ложное срабатывание прекратится.

sscmonitor - используется для отображения клиента скады на нескольких мониторах (см. опцию "Многомониторный режим (https://simple-scada.com/help/manual/settings-simple-client.html?anchor=main)").
​

Название: Re: Антивирусная проверка
Отправлено: GEW от 02 Августа 2022, 16:06:59

Добрый день! Сегодня получили срабатывания kaspersky endpoint security (сертифицированная ФСТЭК сборка 11.3.0.773, базы данных от 01.08.2022) при установке simple-scada 2.6.2.1.exe на арм win10 устаревшей сборки (1607, сборка 14393.970). Объект классифицирован как троянская программа HEUR:Trojan.Win32.Havex.gen (степень угрозы высокая). CRC32 (7-Zip) с инсталлятора:  FC2B61F5, размер 110396800 байт. На других машинах с такой же версией KES и теми же базами (windows 10 1903 сборка 18362.1256, 21H1 сборка 19043.928) срабатываний не было, DrWeb с последними базами также ничего не нашёл. Не понятно что делать - ждать ещё обновлений kes и доведения до них информации или что-то делать с Windows. Срабатывание дал к сожалению рабочий (боевой) АРМ.

Название: Re: Антивирусная проверка
Отправлено: Simple-Scada от 02 Августа 2022, 18:10:23

Здравствуйте.

Чтобы определить ложное это срабатывание, или нет, Вы можете отправить "зараженный" файл на VirusTotal (https://www.virustotal.com/ru) и проверить результат сканирования. Если срабатывание ложное, то нужно либо обращаться к разработчикам антивируса, либо ждать обновления баз с исправлением. С нашей стороны мы никак на это повлиять не сможем. Как и писали ранее - все версии Simple-Scada перед публикацией отправляются в Лабораторию Касперского для проверки и добавления в "белый список" антивируса. Разработку мы ведём также на ПК с Касперским (тоже endpoint security) и не получаем срабатываний антивируса. Сейчас повторно проверили версию 2.6.2.1 с последними базами Касперского, срабатываний нет. На VirusTotal тоже.

Цитировать

Не понятно что делать - ждать ещё обновлений kes и доведения до них информации или что-то делать с Windows.

Результат антивирусной проверки не зависит от версии Windows, он связан только с версией баз антивируса и с проверяемым файлом.