Содержание
Отчет о результатах анализа хеша
После обработки запроса о хеше на странице отчета отображаются результаты анализа.
Структура отчета о результатах поиска хеша аналогична структуре отчета о результатах анализа файла.
В мобильной версии Kaspersky Threat Intelligence Portal отображается только базовый отчет о хеше. Для просмотра полного отчета можно использовать десктопную версию.
В зависимости от зоны, хеш и его статус (Вредоносная программа, Рекламная или другая программа, Безопасный объект, Угрозы не обнаружены, Категория не определена) отображаются в панели одним из следующих цветов:
- Красный – хеш может быть классифицирован как Вредоносная программа.
- Желтый – хеш классифицируется как Рекламная или другая программа (рекламные программы, для взрослых или прочие программы).
- Серый – для хеша нет данных.
- Зеленый – исполняемый файл имеет статус Безопасный объект или Угрозы не обнаружены. Статус Угрозы не обнаружены присваивается файлу, если он не классифицирован "Лабораторией Касперского", но ранее был проверен или проанализирован, и на момент выполнения анализа угрозы не были обнаружены.
Страница отчета содержит следующие данные:
- Обзор – общая информация о запрашиваемом хеше.
- Имена детектируемых объектов – информация о детектируемых объектах, связанных с запрошенным хешем и ранее встречавшихся в статистике "Лаборатории Касперского".
- Результаты динамического анализа – дата последней проверки файла, идентифицированного запрошенным хешем, и графики обнаруженных объектов, подозрительных действий, извлеченных файлов и сетевых взаимодействий, обнаруженных экспертными системами "Лаборатории Касперского".
- Объекты, обнаруженные при динамическом анализе – информация об обнаруженных объектах, зарегистрированных во время исполнения файла, идентифицированного запрошенным хешем.
- Сработавшие сетевые правила – информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрошенным хешем.
- Премиум-содержимое – информация о запрашиваемом хеше, содержащаяся в разделах, которые отображаются размыто. Актуальные данные доступны пользователям с премиум-доступом к Kaspersky Threat Intelligence Portal. Вы можете заказать пробную версию, чтобы просмотреть полный отчет и изучить другие возможности Kaspersky Threat Intelligence Portal.
Следующие закладки доступны, если анализ файла, идентифицированного запрашиваемым хешем, ранее выполнялся в Kaspersky Sandbox:
- Закладка Результаты – информация об объектах, обнаруженных при динамическом анализе, и сработавших сетевых правилах. Зарегистрированным пользователям также доступна схема работы, информация о подозрительных действиях и снимки экрана.
- Закладка Статический анализ – информация о PE-файле (Portable Executable) и строках, извлеченных во время выполнения файла.
- Закладки, доступные зарегистрированным пользователям:
- Закладка Действия системы – информация о действиях, зарегистрированных во время выполнения файла.
- Закладка Извлеченные файлы – информация о файлах, которые были извлечены из сетевого трафика или сохранены файлом во время его выполнения.
- Закладка Сетевые активности – информация о сетевой активности, зарегистрированной во время выполнения файла.
Обзор информации о хеше
В Kaspersky Threat Intelligence Portal отображается следующая общая информация об отправленных на анализ хешах и файлах, идентифицированных этими хешами:
Общая информация о хешах и файлах
Название поля |
Описание |
---|---|
Популярность |
Количество обращений (популярность) к файлу, идентифицированному запрашиваемым хешем, которые были обнаружены экспертными системами "Лаборатории Касперского". Количество обращений округляется до ближайшего значения, являющегося степенью 10. |
Первое появление |
Дата и время, когда файл, идентифицированный запрашиваемым хешем, был впервые обнаружен экспертными системами "Лаборатории Касперского". |
Последнее появление |
Дата и время, когда файл, идентифицированный запрашиваемым хешем, был в последний раз обнаружен экспертными системами "Лаборатории Касперского". |
Формат |
Тип файла, идентифицированного запрашиваемым хешем. |
Размер |
Размер файла, идентифицированного запрашиваемым хешем. |
Подписан |
Организация, подписавшая хеш. |
Упакован |
Название упаковщика (если есть). |
MD5 |
MD5-хеш. |
SHA1 |
Хеш SHA1 (если доступен). |
SHA256 |
Хеш SHA256. |
Имена детектируемых объектов
Kaspersky Threat Intelligence Portal предоставляет следующую информацию об известных обнаруженных объектах, связанных с хешем и ранее встречавшихся в статистике "Лаборатории Касперского":
- Цвет зоны, к которой относится обнаруженный объект (красный или желтый).
- Дата и время, когда объект был в последний раз обнаружен экспертными системами "Лаборатории Касперского".
- Имя обнаруженного объекта. Вы можете выбрать любую запись и просмотреть ее описание на сайте угроз "Лаборатории Касперского".
Результаты динамического анализа
Kaspersky Threat Intelligence Portal предоставляет следующую графическую информацию об обнаруженных объектах, подозрительных действиях, извлеченных файлах и сетевых взаимодействиях, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем:
Результаты динамического анализа хеша
Название графика |
Описание |
---|---|
Обнаружения |
Общее количество объектов, обнаруженных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля объектов со статусами Вредоносная программа (красный) и Рекламная или другая программа (желтый). |
Подозрительные действия |
Общее количество подозрительных действий, зарегистрированных во время исполнения файла, идентифицированного запрашиваемым хешем, и доля действий с Высоким (красным), Средним (желтым) и Низким (серым) уровнями опасности. |
Извлеченные файлы |
Общее количество файлов, загруженных или измененных файлом, идентифицированным запрашиваемым хешем, в процессе выполнения, а также доля файлов со статусом Вредоносная программа (извлеченные файлы, которые могут быть классифицированы как вредоносные, отмечены красным), Рекламная или другая программа (извлеченные файлы, которые могут быть классифицированы как Not-a-virus, отмечены желтым), Безопасный объект (извлеченные файлы, которые могут быть классифицированы как не являющиеся вредоносными, отмечены зеленым) и Категория не определена (для классификации нет или недостаточно данных об извлеченных файлах, отмечены серым). |
Сетевые активности |
Общее количество зарегистрированных сетевых взаимодействий, выполненных файлом, идентифицированным запрашиваемым хешем, в процессе исполнения, и доля сетевых взаимодействий со статусом Опасный объект (запросы к ресурсам со статусом Опасный, отмечены красным), Рекламная или другая программа (запросы к ресурсам со статусом Рекламная или другая программа, отмечены желтым), Безопасный объект (запросы к ресурсам со статусом Безопасный, отмечены зеленым) и Категория не определена (запросы к ресурсам со статусом Категория не определена, отмечены серым). |
Обнаружения динамического анализа
В Kaspersky Threat Intelligence Portal отображается следующая информация об обнаруженных объектах, связанных с файлом, идентифицированным запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на закладке Результаты.
Имена объектов, детектируемых в изоляции
Название поля |
Описание |
---|---|
Статус |
Зона (уровень) опасности, присвоенный объекту (Вредоносная программа или Рекламная или другая программа). |
Имя |
Имя обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). Каждый элемент в списке кликабелен – по нему можно перейти к его описанию на сайте угроз "Лаборатории Касперского". |
Сработавшие сетевые правила
В Kaspersky Threat Intelligence Portal отображается следующая информация о правилах SNORT и Suricata, сработавших при анализе трафика со стороны файла, идентифицированного запрашиваемым хешем. Если анализ файла, идентифицированного запрошенным хешем, ранее выполнялся в Kaspersky Sandbox, этот раздел отображается на закладке Результаты.
Сработавшие сетевые правила
Название поля |
Описание |
---|---|
Зона |
Зона (уровень) опасности сетевого трафика, обнаруженного правилом SNORT или Suricata (Высокий, Средний, Низкий, Информационный). |
Правило |
Название правила SNORT или Suricata. |
Информация, доступная пользователям с премиум-доступом
Kaspersky Threat Intelligence Portal предоставляет пользователям с премиум-доступом следующую подробную информацию о запрашиваемом хеше, если она доступна.
Закладка Подписи и сертификаты
Информация о подписях и сертификатах файла
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Подписи и сертификаты файла |
Информация о подписях и сертификатах файла, идентифицированного запрашиваемым хешем. |
Статус – статус сертификата файла. Поставщик – владелец сертификата. Издатель – издатель сертификата. Подписан – дата и время подписания сертификата. Выпущен – дата и время выпуска сертификата. Истекает – срок действия сертификата. Серийный номер – серийный номер сертификата. |
Подписи и сертификаты контейнера |
Информация о подписях и сертификатах контейнера. |
Статус – статус сертификата контейнера. MD5-хеш контейнера – MD5-хеш файла контейнера. Подписан – дата и время подписания сертификата контейнера. Выпущен – дата и время выпуска сертификата контейнера. Истекает – срок действия сертификата контейнера. |
Закладка Пути
Информация о путях к файлу
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Пути к файлу |
Известные пути к файлу на компьютерах, использующих программы "Лаборатории Касперского". |
Популярность – количество случаев обнаружения пути экспертными системами "Лаборатории Касперского". Путь – путь к файлу на компьютерах пользователей, идентифицированному запрашиваемым хешем. Расположение – корневая папка или диск, где находится файл, идентифицированный запрашиваемым хешем, на компьютерах пользователей. |
Закладка Имена
Информация об именах файла
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Имена файла |
Известные имена файла на компьютерах, использующих программы "Лаборатории Касперского". |
Популярность – количество случаев обнаружения имени файла экспертными системами "Лаборатории Касперского". Имя файла – имя файла, идентифицированного запрашиваемым хешем. |
Закладка Загрузки
Информация о веб-адресах, с которых был загружен файл
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Веб-адреса и домены, с которых был загружен файл |
Веб-адреса и домены, с которых был загружен анализируемый файл. |
Статус – статус веб-адресов или доменов, используемых для загрузки файла, идентифицированного запрашиваемым хешем. Веб-адрес – веб-адреса, используемые для загрузки файла, идентифицированного запрашиваемым хешем. Последняя загрузка – дата и время последней загрузки файла, идентифицированного запрашиваемым хешем, с веб-адреса/домена. Домен – верхнеуровневый домен веб-адреса, используемого для загрузки файла, идентифицированного запрашиваемым хешем. Количество IP-адресов – количество IP-адресов, в которые разрешается домен. |
Закладка Веб-адреса
Информация о веб-адресах
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Веб-адреса, к которым обращался файл |
Веб-адреса, к которым обращался файл, идентифицированный запрашиваемым хешем. |
Статус – статус посещенных веб-адресов. Веб-адрес – веб-адреса, к которым обращался файл, идентифицированный запрашиваемым хешем. Последний доступ – дата и время последнего обращения файла, идентифицированного запрашиваемым хешем, к веб-адресу. Домен – верхнеуровневый домен веб-адреса, к которому обращался файл, идентифицированный запрашиваемым хешем. Количество IP-адресов – количество IP-адресов, в которые разрешается домен. |
Закладка Запущенные объекты
Информация о запущенных объектах
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Объекты, запущенные файлом |
Объекты, запущенные файлом, идентифицированным запрашиваемым хешем. |
Статус – статус запущенных объектов. Популярность – количество запусков объекта файлом, идентифицированным запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш запущенного объекта. Расположение – корневая папка или диск, где находится запущенный объект на компьютерах пользователей. Путь – путь к объекту на компьютерах пользователей. Имя файла – название запущенного объекта. Последний запуск – дата и время последнего запуска объекта файлом, идентифицированным запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Объекты, которые запускали файл |
Объекты, которые запускали файл, идентифицированный запрашиваемым хешем. |
Статус – статус объектов, которые запускали файл, идентифицированный запрашиваемым хешем. Популярность – количество запусков файла, идентифицированного запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш объекта, который запускал файл, идентифицированный запрашиваемым хешем. Расположение – корневая папка или диск, где находится объект на компьютерах пользователей. Путь – путь к объекту на компьютерах пользователей. Имя файла – название объекта, который запускал файл, идентифицированный запрашиваемым хешем. Последний запуск – дата и время последнего запуска файла, идентифицированного запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Закладка Загруженные объекты
Информация о загруженных объектах
Название таблицы |
Описание |
Поля таблицы |
---|---|---|
Объекты, загруженные файлом |
Объекты, загруженные файлом, идентифицированным запрашиваемым хешем. |
Статус – статус загруженных объектов. Популярность – количество загрузок объекта, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш загруженного объекта. Расположение – корневая папка или диск, где находится загруженный объект на компьютерах пользователей. Путь – путь к загруженному объекту на компьютерах пользователей. Имя файла – название загруженного объекта. Последняя загрузка – дата и время последней загрузки объекта файлом, идентифицированным запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |
Объекты, которые загружали файл |
Объекты, которые загружали файл, идентифицированный запрашиваемым хешем. |
Статус – статус объектов, которые загружали файл, идентифицированный запрашиваемым хешем. Популярность – количество загрузок файла, идентифицированного запрашиваемым хешем, обнаруженное экспертными системами "Лаборатории Касперского". MD5-хеш файла – MD5-хеш объекта, который загрузил файл, идентифицированный запрашиваемым хешем. Расположение – корневая папка или диск, где находится объект на компьютерах пользователей. Имя файла – название объекта, который загрузил файл, идентифицированный запрашиваемым хешем. Путь – путь к объекту на компьютерах пользователей. Последняя загрузка – дата и время последней загрузки файла, идентифицированного запрашиваемым хешем. Имя детектируемого объекта – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). |