Антивирусная проверка

[Banzai]

Добрый день. У нас на предприятии используется Simple-Scada 2, имеются два активных ключа лицензии.
Позавчера, при обновлении версии скады, KICS заругался на файл sscmonitor.exe. Что это за файл, что он делает? Не хотелось бы объясняться в ФСТЭК и писать кучу бумаг безопасникам об инциденте в критически значимом сегменте.
Не могли бы вы связаться с касперскими, чтобы внести его в исключения?

[Simple_Scada]

Здравствуйте.

Любой антивирус имеет ложные срабатывания - подробнее см. по ссылке. При возникновении подозрений на наличие в ПО вируса, необходимо выполнить проверку ПО на ресурсах, позволяющих проверить ПО множеством антивирусов одновременно, например на сайте Virustotal. Результат сканирования версии 2.6.2.1 различными антивирусами можно просмотреть по ссылке. Результат сканирования sscmonitor.exe доступен по этой ссылке и он не определяется Касперским как вирус, ни на virustotal, ни на наших ПК (с последними базами антивируса). Все версии Simple-Scada перед публикацией отправляются в Лабораторию Касперского для проверки и добавления в "белый список" антивируса. Рекомендуем обновить базы антивируса, вероятнее всего ложное срабатывание прекратится.

sscmonitor - используется для отображения клиента скады на нескольких мониторах (см. опцию "Многомониторный режим").
​

[GEW]

Добрый день! Сегодня получили срабатывания kaspersky endpoint security (сертифицированная ФСТЭК сборка 11.3.0.773, базы данных от 01.08.2022) при установке simple-scada 2.6.2.1.exe на арм win10 устаревшей сборки (1607, сборка 14393.970). Объект классифицирован как троянская программа HEUR:Trojan.Win32.Havex.gen (степень угрозы высокая). CRC32 (7-Zip) с инсталлятора:  FC2B61F5, размер 110396800 байт. На других машинах с такой же версией KES и теми же базами (windows 10 1903 сборка 18362.1256, 21H1 сборка 19043.928) срабатываний не было, DrWeb с последними базами также ничего не нашёл. Не понятно что делать - ждать ещё обновлений kes и доведения до них информации или что-то делать с Windows. Срабатывание дал к сожалению рабочий (боевой) АРМ.

[Simple-Scada]

Здравствуйте.

Чтобы определить ложное это срабатывание, или нет, Вы можете отправить "зараженный" файл на VirusTotal и проверить результат сканирования. Если срабатывание ложное, то нужно либо обращаться к разработчикам антивируса, либо ждать обновления баз с исправлением. С нашей стороны мы никак на это повлиять не сможем. Как и писали ранее - все версии Simple-Scada перед публикацией отправляются в Лабораторию Касперского для проверки и добавления в "белый список" антивируса. Разработку мы ведём также на ПК с Касперским (тоже endpoint security) и не получаем срабатываний антивируса. Сейчас повторно проверили версию 2.6.2.1 с последними базами Касперского, срабатываний нет. На VirusTotal тоже.

Не понятно что делать - ждать ещё обновлений kes и доведения до них информации или что-то делать с Windows.

Результат антивирусной проверки не зависит от версии Windows, он связан только с версией баз антивируса и с проверяемым файлом.