Нет, не мешают. Использование KeePass или иных менеджеров паролей детектируется, и отличается от использования копирования из буфера обмена мышкой или клавиатурой. Это все так же учитывается в индивидуальном профиле пользователя и используется при выявлении аномалий в поведении.
Андрей Зосимов: «Антивирусы используют сигнатурный и эвристические методы обнаружения вредоносных файлов. С сигнатурным вроде как всё понятно — злоумышленники изменили документ, пусть и незначительно, и этого хватило. В этом, как мне кажется, их главная ошибка здесь, необходимо было изучить уязвимость и правильно написать сигнатуру. Другой, эвристический, разделяется на два — статический и динамический. Статический анализ тут осуществить довольно проблематично, так как сам по себе документ не является исполняемым, поэтому сложно определить к чему в конечном итоге приведет запуск файла. Остается динамический — но тут, как я полагаю, антивирусы не умеют исполнять документы ввиду некоторых особенностей своей песочницы.
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».
Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.
Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».