Просмотр обнаружений

В веб-интерфейсе программы отображаются следующие типы обнаружений, на которые пользователю Kaspersky Anti Targeted Attack Platform рекомендуется обратить внимание:

• На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла. Программа обнаружила этот файл в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• На адрес электронной почты пользователя локальной сети организации был отправлен файл. Программа обнаружила этот файл в копиях сообщений электронной почты, полученных по протоколу POP3 или SMTP, или полученных с виртуальной машины или сервера с программой Kaspersky Secure Mail Gateway, если она используется в вашей организации.
• На компьютере локальной сети организации была открыта ссылка на веб-сайт. Программа обнаружила эту ссылку на веб-сайт в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности. Программа обнаружила эту сетевую активность в зеркалированном трафике локальной сети организации.
• На компьютере локальной сети организации были запущены процессы. Программа обнаружила эти процессы c помощью программы Kaspersky Endpoint Agent, установленной на компьютеры, входящие в IT-инфраструктуру организации.

Если обнаружен файл, в зависимости от того, какие модули или компоненты программы выполнили обнаружение, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженном файле (например, IP-адрес компьютера, на котором обнаружен файл, имя обнаруженного файла);
• результаты антивирусной проверки файла, выполненной ядром AM Engine;
• результаты проверки файла на наличие признаков вторжения в IT-инфраструктуру организации, выполненной модулем YARA;
• результаты исследования поведения файла при попадании в операционные системы Windows XP SP3 (32-разрядную), Windows 7 (64-разрядную), Windows 10 (64-разрядную) и CentOS 7.8, выполненного компонентом Sandbox;
• результаты анализа исполняемых файлов формата APK в облачной инфраструктуре на основе технологии машинного обучения.

Если обнаружена ссылка на веб-сайт, в зависимости от того, какие модули или компоненты программы выполнили обнаружение, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженной ссылке на веб-сайт (например, IP-адрес компьютера, на котором обнаружена ссылка на веб-сайт, адрес ссылки на веб-сайт);
• результаты проверки ссылки на наличие признаков вредоносного, фишингового URL-адреса или URL-адреса, который ранее использовался злоумышленниками для целевых атак на IT-инфраструктуру организаций, выполненной модулем URL Reputation.

Если обнаружена сетевая активность IP-адреса или доменного имени компьютера локальной сети организации, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженной сетевой активности;
• результаты проверки интернет-трафика на наличие признаков вторжения в IT-инфраструктуру организации по предустановленным правилам, выполненной модулем Intrusion Detection System (IDS);
• результаты исследования сетевой активности, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
• результаты исследования сетевой активности, выполненного по пользовательским правилам TAA (IOA), IDS, IOC.

Если обнаружены процессы, запущенные на компьютере локальной сети организации, на котором установлена программа Kaspersky Endpoint Agent, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и процессах, запущенных на этом компьютере;
• результаты исследования сетевой активности компьютера, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
• результаты исследования сетевой активности компьютера, выполненного по пользовательским правилам TAA (IOA), IOC.

Просмотр информации об обнаружении

Чтобы просмотреть информацию об обнаружении:

1. В окне веб-интерфейса программы выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Левой клавишей мыши нажмите на строку с тем обнаружением, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об обнаружении.

Общая информация об обнаружении любого типа

Независимо от того, какой технологией выполнено обнаружение - в заголовке окна с информацией об обнаружении отображается идентификатор обнаружения. Рядом с состоянием отображается значок или в зависимости от наличия у обнаружения статуса VIP.

В верхней части окна с информацией об обнаружении может отображаться следующая общая информация об обнаружении:

• Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.
• Важность – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
• Сервер – имя сервера, на котором выполнено обнаружение. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе программы.
• Хост – доменное имя компьютера, на котором произошло обнаружение.
• Источник данных – источник данных. Например, SMTP Sensor или SPAN Sensor.
• Время создания – время, когда было выполнено обнаружение.
• Время обновления – время, когда была обновлена информация об обнаружении.

Информация в блоке Информация об объекте

В блоке Информация об объекте может отображаться следующая информация об обнаруженном объекте:

• Имя файла.

  По ссылке с именем файла раскрывается действие Скопировать значение в буфер.

• Тип файла. Например, ExecutableWin32.

  Кнопка Найти на TIP позволяет найти файл на

  Kaspersky Threat Intelligence Portal

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

  .

  Кнопка Создать правило запрета позволяет запретить запуск файла.

  Кнопка Скачать позволяет загрузить файл на жесткий диск вашего компьютера.

  Файл загружается в формате ZIP-архива, зашифрованного паролем infected. Имя файла внутри архива заменено на MD5-хеш файла. Расширение файла внутри архива не отображается.

• Размер файла в килобайтах.
• MD5 – MD5-хеш файла.

  По ссылке с MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• SHA256 – SHA256-хеш файла.

  По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти на virustotal.com.
  • Найти события.
  • Найти обнаружения.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• Email отправителя – адрес электронной почты, с которого было отправлено сообщение, содержащее файл.
• Email получателя – один или несколько адресов электронной почты, на которые было отправлено сообщение, содержащее файл.
• Исходный email отправителя – исходный адрес электронной почты, с которого было отправлено сообщение, содержащее файл.

  Данные для этого поля берутся из заголовка Received.

• Исходный email получателя – исходный адрес или адреса электронной почты, на которые было отправлено сообщение, содержащее файл.

  Данные для этого поля берутся из заголовка Received.

• Тема – тема сообщения.
• IP сервера-отправителя – IP-адрес первого в цепочке отправки сообщения почтового сервера.

  По ссылке IP сервера-отправителя раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Заголовки – расширенный набор заголовков сообщения электронной почты. Например, может содержать информацию об адресах электронной почты отправителя и получателей сообщения, о почтовых серверах, передавших сообщение, о типе контента сообщения электронной почты.

Информация в блоке Информация об обнаружении

В блоке Информация об обнаружении может отображаться следующая информация об обнаружении:

• ,  или – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
• Время – время, в которое программа выполнила обнаружение.
• Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если программа обнаружила файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
• Метод – метод HTTP-запроса. Например, Get, Post или Connect.
• URL – обнаруженный URL-адрес. Может также содержать код ответа.

  По ссылке с URL раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP по URL.
  • Найти на TIP по имени домена.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Referrer – URL-адрес, с которого произошло перенаправление на ссылку на веб-сайт, требующую внимания. В HTTP-протоколе это один из заголовков запроса клиента, содержащий URL-адрес источника запроса.
• IP назначения – IP-адрес ресурса, к которому обращался пользователь или программа.

  По ссылке с IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Имя пользователя – имя учетной записи пользователя, действия которого привели к возникновению события.
• Запрос/Ответ – длина запроса и ответа.

Информация в блоке Результаты проверки

В блоке Результаты проверки могут отображаться следующие результаты проверки обнаружения:

• Названия модулей или компонентов программы, выполнивших обнаружение.
• Одна или несколько категорий обнаруженного объекта. Например, может отображаться название вируса Virus.Win32.Chiton.i.
• Версии баз модулей и компонентов Kaspersky Anti Targeted Attack Platform, выполнивших обнаружение.
• Результаты проверки обнаружений модулями и компонентами программы:
  • YARA – результаты потоковой проверки файлов и объектов, поступающих на Central Node, или результаты проверки хостов с Kaspersky Endpoint Agent. Может принимать следующие значения:
    • Категория обнаруженного файла в правилах YARA (например, может отображаться название категории susp_fake_Microsoft_signer).

      Отображается при потоковой проверке.

      Кнопка Создать правило запрета позволяет запретить запуск файла.

      Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    • Путь к файлу и/или имя дампа памяти.

      Отображается при проверке хостов с Kaspersky Endpoint Agent.

      По ссылке с путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

      • Найти события.
      • Найти обнаружения.
      • Скопировать значение в буфер.

    Кнопка Создать задачу позволяет создать следующие задачи:

    • Собрать данные → Файл, Образ диска, Дамп памяти.
    • Удалить файл.
    • Поместить файл на карантин.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Просмотреть на карантине позволяет просмотреть информацию об объекте, помещенном на карантин.

  • SB (Sandbox) – результаты исследования поведения файла, выполненного компонентом Sandbox.

    Нажатием на кнопку Sandbox-обнаружение вы можете открыть окно с подробной информацией о результатах исследования поведения файла.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Вы можете загрузить подробный журнал исследования поведения файла во всех операционных системах нажав на кнопку Скачать сведения об отладке.

    Файл загружается в формате ZIP-архива, зашифрованного паролем infected. Имя проверенного файла внутри архива заменено на MD5-хеш файла. Расширение файла внутри архива не отображается.

    По умолчанию максимальный объем жесткого диска для хранения журналов исследования поведения файлов во всех операционных системах составляет 300 ГБ. По достижении этого ограничения программа удаляет журналы исследования поведения файлов, созданные раньше остальных, и заменяет их новыми журналами.

  • URL (URL Reputation) – категория обнаруженного вредоносного, фишингового URL-адреса или URL-адреса, который ранее использовался злоумышленниками для целевых атак на IT-инфраструктуру организаций.
  • IDS (Intrusion Detection System) – категория обнаруженного объекта по базе Intrusion Detection System или название пользовательского правила IDS, по которому было выполнено обнаружение. Например, может отображаться категория Trojan-Clicker.Win32.Cycler.a.

    По ссылке открывается информация о категории объекта в базе угроз "Лаборатории Касперского" Kaspersky Threats.

  • AM (Anti-Malware Engine) – категория обнаруженного объекта по антивирусной базе. Например, может отображаться название вируса Virus.Win32.Chiton.i.

    По ссылке открывается информация о категории объекта в базе угроз "Лаборатории Касперского" Kaspersky Threats.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Кнопка Скачать позволяет загрузить файл на жесткий диск вашего компьютера.

  • TAA (Targeted Attack Analyzer) – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей

    технике MITRE

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    , а также рекомендации по реагированию на событие.

  • IOC – Название IOC-файла, по которому было выполнено обнаружение.

    При выборе IOC-файла открывается окно с результатами IOC-проверки.

    По ссылке Все события, связанные с обнаружением в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по MD5, FileFullName. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

Информация в блоке Правило IDS

В блоке Правило IDS отображается информация об обнаружении, выполненном технологией IDS (Intrusion Detection System), в формате матрицы HEX-редактора.

HEX-редактор (англ. hex-editor), шестнадцатеричный редактор — приложение для редактирования данных, в котором данные представлены как последовательность байтов.

В верхней части матрицы отображается длина правила IDS.

В левой части матрицы отображаются данные правила в текстовом формате.

В разделе Содержание правила блока Правило IDS отображается заголовок правила IDS и данные IDS-обнаружения в формате Suricata. Например, могут отбражаться данные о направлении трафика (flow), метод HTTP-запроса (http_method), HTTP-заголовок (http_header), идентификатор безопасности (sid).

Информация в блоке Сетевое событие

В блоке Сетевое событие может отображаться следующая информация о ссылке на веб-сайт, открытой на компьютере:

• Дата и Время – дата и время сетевого события.
• Метод – тип HTTP-запроса, например, GET или POST.
• IP источника – IP-адрес компьютера, на котором была открыта ссылка на веб-сайт.
• IP назначения – IP-адрес компьютера, с которого была открыта ссылка на веб-сайт.
• URL – тип HTTP-запроса, например, GET или POST и URL-адрес веб-сайта.

  По ссылке с URL-адресом раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP по URL.
  • Найти на TIP по имени домена.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Агент пользователя – информация о браузере, с помощью которого был загружен файл или была предпринята попытка загрузки файла, или была открыта ссылка на веб-сайт. Текстовая строка в составе HTTP-запроса, обычно содержащая название и версию браузера, а также название и версию операционной системы, установленной на компьютере пользователя.

Результаты проверки в Sandbox

В окне результатов проверки объекта в Sandbox могут отображаться следующие сведения об обнаружении:

• Файл – полное имя и путь проверенного файла.
• Размер файла – размер файла.
• MD5 – MD5-хеш файла.

  По ссылке с MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если программа обнаружила файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
• Время обработки – время выполнения проверки файла.
• Версии баз – версии баз модулей и компонентов Kaspersky Anti Targeted Attack Platform, выполнивших обнаружение.

Кнопка Новое правило запрета в правом верхнем углу окна позволяет запретить запуск файла.

Информация о результатах исследования поведения файла приводится для каждой операционной системы, в которой компонент Sandbox выполнил проверку. Для операционной системы Windows 7 (64-разрядная) вы можете просмотреть журналы активности файла для двух режимов проверки компонента Sandbox – Режим быстрой проверки и Режим ведения полного журнала.

Для каждого режима проверки могут быть доступны следующие журналы активности:

• Список активностей – действия файла внутри операционной системы.
• Дерево активностей – графическое представление процесса исследования файла.
• Журнал HTTP-активности – журнал HTTP-активности файла. Содержит следующую информацию:
  • IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
  • Метод – метод HTTP-запроса, например, GET или POST.
  • URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.

  По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.

  По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP по URL.
  • Найти на TIP по имени домена.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Журнал действий IDS – журнал сетевой активности файла. Содержит следующую информацию:
  • IP источника – IP-адрес хоста, на котором хранится файл.
  • IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
  • Метод – метод HTTP-запроса, например, GET или POST.
  • URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.

  По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.

  По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP по URL.
  • Найти на TIP по имени домена.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.
• Журнал DNS-активности – журнал DNS-активности файла. Содержит следующую информацию:
  • Тип запроса (Request или Response)
  • DNS-имя – доменное имя сервера.
  • Тип – тип DNS-запроса (например, A или CNAME).
  • Хост – имя хоста или IP-адрес, с которым осуществлялось взаимодействие.

  По ссылкам в столбцах DNS-имя и Хост раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти на TIP.
  • Найти события.
  • Найти обнаружения.
  • Скопировать значение в буфер.

Кнопка Скачать полный журнал в нижней части каждого из режимов проверки Режим быстрой проверки и Режим ведения полного журнала позволяет скачать журнал исследования поведения файла в каждой операционной системе на компьютер.

Результаты IOC-проверки

В зависимости от типа обработанного объекта, в окне результатов поиска индикаторов компрометации могут отображаться следующие данные:

• ARP-протокол:
  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
• DNS-запись:
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
• Событие в журнале Windows:
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Учетная запись пользователя.
  • Время события.
• Файл:
  • MD5-хеш файла.
  • SHA256-хеш файла.
  • Полное имя файла (включая путь).
  • Размер файла.
• Порт:
  • Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
  • Удаленный порт, с которым было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
• Процесс:
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор (PID) процесса.
  • Windows идентификатор (PID) родительского процесса.
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
• Служба:
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор (PID) службы.
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
• Пользователь:
  • Имя учетной записи пользователя.
• Том:
  • Наименование тома.
  • Буква тома.
  • Тип тома.
• Реестр:
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
• Переменные окружения:
  • Физический адрес (MAC) защищаемого компьютера.
  • Система (окружение).
  • Имя ОС с версией.
  • Сетевое имя защищаемого устройства.
  • Домен или группа, к которой принадлежит защищаемый компьютер.

В разделе IOC отображается структура IOC-файла. При совпадении обработанного объекта с одним из условий IOC-правила, это условие подсвечивается. Если обработанный объект совпадает с несколькими условиями, выделяется текст всей ветки.

Информация в блоке Хосты

В блоке Хосты отображается следующая информация о хостах, на которых сработало правило TAA (IOA):

• Имя хоста – IP-адрес или доменное имя компьютера, на котором произошло событие. По ссылке открывается раздел Поиск угроз с условием поиска, содержащим ID выбранного правила и выбранный хост.
• IP – IP-адрес компьютера, на котором произошло событие.

  Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный компьютеру на момент создания или обновления обнаружения.

  Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес компьютера не отображается.

• Количество событий – количество событий, произошедших на хосте.
• Найти события. По ссылке открывается раздел Поиск угроз с условием поиска, содержащим ID выбранного правила.

Информация в блоке Журнал изменений

В блоке Журнал изменений может отображаться следующая информация об обнаружении:

• Дата и время изменения обнаружения.
• Автор изменений.

  Например, Система или имя пользователя программы.

• Изменение, произошедшее с обнаружением.

  Например, обнаружению может быть присвоена принадлежность группе VIP, или оно может быть отмечено как обработанное.

Отправка данных об обнаружении

Вы можете предоставить в "Лабораторию Касперского" данные об обнаружении (кроме технологий URL Reputation и IOC) для дальнейшего исследования.

Для этого необходимо скопировать данные об обнаружении в буфер обмена, а затем отправить их в "Лабораторию Касперского" по электронной почте.

Данные об обнаружении могут содержать данные о вашей организации, которые вы считаете конфиденциальными. Вам необходимо самостоятельно согласовать отправку этих данных для дальнейшего исследования в "Лабораторию Касперского" со Службой безопасности вашей организации.

Чтобы скопировать данные об обнаружении в буфер обмена:

1. В окне веб-интерфейса программы выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Левой клавишей мыши нажмите на строку с тем обнаружением, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об обнаружении.

3. Нажмите на ссылку Предоставить данные об обнаружении в "Лабораторию Касперского" в нижней части окна с информацией об обнаружении.

   Откроется окно Подробнее.

4. Просмотрите данные об обнаружении для отправки в "Лабораторию Касперского".
5. Если вы хотите скопировать эти данные, нажмите на кнопку Скопировать в буфер.

   Данные об обнаружении будут скопированы в буфер обмена. Вы сможете отправить их в "Лабораторию Касперского" для дальнейшего исследования.