Использование портативного сканера (v4.0) Типовые сценарии и пост обработка

В этой статье рассмотрены ключевые сценарии применения портативного сканера. Для начала работы с утилитой необходимо выполнить подготовительные действия:

  1. Запустите командную строку с правами администратора и выполните переход на диск, на котором расположен сканер (например, e:).
  2. Перейдите в каталог сканера: cd E:/Kavscan.
  3. При первом запуске рекомендуется выполнить проверку пустого каталога или тестовой файловой системы. Это позволит инициализировать сканер: будут распакованы и подготовлены к работе антивирусные сигнатуры, заложенные на этапе создания носителя. На последующих сеансах сканирования данная процедура не требуется (за исключением случаев обновления баз).

Рисунок5.png

Следующим шагом очистим отчет сканирования:

Рисунок6.png

Теперь приступим непосредственно к самому сканированию и проанализируем результаты.

Рисунок7.png

По итогам сканирования были выявлены заражённые, а также потенциально заражённые объекты. Рассмотрим процедуру анализа полученных результатов.
В портативном сканере, развёрнутом на стандартном USB-накопителе, все отчёты сохраняются в каталоге Kavscan\Result. Внутри этого каталога для каждого проверенного устройства создаётся отдельная папка, в которой может содержаться несколько отчётов — в зависимости от того, сколько раз проводилось сканирование данного узла.

Рисунок8.png

Первоочередная задача — провести анализ угроз, обнаруженных портативным сканером. Для этого необходимо открыть файл detects.json, который содержит полный перечень выявленных объектов с указанием их статуса и классификации. 

Рисунок9.png

Обнаруженные вредоносные файлы представляет собой серьезную угрозу, так как могут содержать вредоносный код, что может указывать на многоэтапную атаку. Поэтому первым делом необходимо идентифицировать и проанализировать их.

Например, рассмотрим обнаруженную угрозу hta_server_x86_calc.hta.

Данный файл содержит два разных трояна:

Статус "threatStatus": "Untreated" с причиной "untreatedReason": "ReportOnly" означает, что сканер обнаружил, но не удалил и не поместил в карантин зараженный файл. Это стандартное поведение для портативного сканера KICS, который работает в режиме «только обнаружение» (Report Only). Его основная задача — выявить угрозы для последующего анализа, а не автоматическое лечение.

Так как угроза не была автоматически устранена, необходимо предпринять следующие шаги:

  1. Изолировать зараженный узел: Отключить компьютер от промышленной сети для предотвращения распространения атаки. Если отключение не предоставляется возможным, то убедиться, что вирус не распространился на другие системы. Выполнить сканирование систем портативным сканером.
  2. Удалить зараженный файл: Вручную удалить файл hta_server_x86_calc.hta с рабочего стола.
  3. Провести полное сканирование: Выполнить полное сканирование всей системы с помощью портативного сканера или основного антивирусного решения, чтобы убедиться в отсутствии других зараженных объектов.
  4. Проанализировать цепочку заражения: Выяснить, как файл попал на компьютер. Это могло быть следствием фишинга, загрузки с вредоносного сайта или распространения через другой носитель.
  5. Проверить сетевую активность: Проанализировать сетевые соединения с зараженного узла для выявления возможной утечки данных или связи с командно-контрольными (C2) серверами.

Для анализа угроз, выявленных портативным сканером KICS, можно использовать несколько типов источников. Они различаются по назначению: одни помогут понять природу угрозы, другие — провести глубокое расследование инцидента.

Давайте рассмотрим некоторые источники:

·       Kaspersky Threat Intelligence: Платформа «Лаборатории Касперского» предоставляет актуальные данные по веб-адресам, хешам файлов, названиям угроз и поведенческим данным. (https://opentip.kaspersky.com/)

·       Аналитические отчеты (ICS CERT): «Лаборатория Касперского» публикует глубокие технические отчеты о кибератаках на промышленные предприятия. (https://ics-cert.kaspersky.com/)

·       База угроз безопасности и уязвимостей ПО «Лаборатории Касперского» (https://threats.kaspersky.com/ru/)

·  VirusTotal: Онлайн-сервис, который сканирует файл или хеш (SHA256/MD5) десятками антивирусных движков и показывает результаты от всех вендоров. Это позволяет увидеть, насколько широко файл детектируется как вредоносный (https://www.virustotal.com/gui/home/upload).

 


Revision #1
Created 9 July 2026 11:41:24 by Olga Sinotova
Updated 9 July 2026 11:55:41 by Olga Sinotova