ASnow

Вирус .scr

В этой теме 16 сообщений

Столкнулся с хитрым вирусом вирусом. На флэшке скрывает папки и подменяет собой с расширением .scr, и значек как у папки.

Прыгнув на комп отрубает диспетчер задач и свойства папки. То есть, скрыв расширение и настоящую папку его так просто не заметить.

Так же копирует себя в автозагрузку пользователя (servise.exe именно так, а не service), в system32\drivers создает папку Cache, делает из нее общий ресурс и кидает свою купию туда под именем ХХХ (хитрая сволочь).

На вирустотале скан сообщает что симантек классифицирует его как Suspicious.Insight, что насколько я помню является подозрением на вирус. Сам же SEP молчит, мол вирусов нет. Неприятно... :angry:

Я конечно создал правила для его блокировки, но на 64-битных машинах они не отрабатывают, так что проблема является актуальной.

Я не желаю ходить с флэшкой и сканерами выгребать это все, ибо блокирование авторанов тут не спасет, совершенно иной тип размножения.

Отправлял на анализ месяц назад, видимо проигнорировали...

Скрины ниже.

1.png

2.png

3.png

4.png

post-6775-1267599177_thumb.png

post-6775-1267599183_thumb.png

post-6775-1267599187_thumb.png

post-6775-1267599192_thumb.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ASnow когда точно и как Вы отправляли образец?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASnow когда точно и как Вы отправляли образец?

3 февраля

Банально нет в базах. Отправьте семпл компании Symantec.

уж месяц как отправил

Почему?

Для меня загадка почему. Ни блокировка устройств, ни наборы правил не работают на 64-битных машинах, хотя все компоненты установлены, политики присвоены и получены.

Можно получить семпл в личку?

Нет прав для отправки личных сообщений

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Существует аналогичная проблема у меня на двух компах в сети. Контроль приложений показывает наличие процессов servise.exe и games.scr. Я их правилами блокирую, но антивирус молчит. К сожалению из-за удаленности компов, не могу получить сэмплы на руки, а то давно бы отправил на анализ. Обычно ответ приходит в течении 4 часов.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Программа показывает вам, что это Suspicious.Insight, и предоставляет право пользователю/администратору поступать с ними, как ему захочется. См. пояснение выше.

В том то и дело что SEP со свежими базами не показывает ничего.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SEP со свежими базами не показывает ничего.

smile37.gif Значит, он уже давал детект, и предоставил действие пользователю.

А каков перимент распространения? Если масштабы малы - только руками.

Если после этого файлы появятся снова, то программа защиты зафиксирует это и выдаст новый детект.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Детекта не было. Модуль контроля приложений на двух станциях зарегистрировал два новых процесса - servise.exe и games.scr . Мною эти процессы сразу же были добавлены в правило блокировки приложений. После этого, вот уже больше двух недель я получаю предупреждение о срабатываниях правила блокировки этих процессов. Срабатывания происходят раз 10 за час.

К сожалению, дойти до этих станций и решить проблему на месте пока невозможно ввиду их удаленности. А возможности добавить файл в карантин с помощью модуля контроля приложений не предусмотрено функционалом. Поэтому отправить экземпляр подозрительных файлов на анализ в Симантек пока невозможно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поэтому отправить экземпляр подозрительных файлов на анализ в Симантек пока невозможно.
Жаль.

А по сети разве нельзя переименовать/запаковать/запаролить и скопировать к себе?

Или попросить оператора тех компьютеров? smile37.gif

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю даже md5 этих фалов многое скажет -)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по сети разве нельзя переименовать/запаковать/запаролить и скопировать к себе?

Или попросить оператора тех компьютеров?

К сожалению - нельзя. Иначе давно бы сделал.

Пользователи компов - бухгалтерши со всеми вытекающими последствиями :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, просьба придерживаться темы обсуждения.

ASnow, куда же все-таки Вы отправляли образец?

Я конечно создал правила для его блокировки, но на 64-битных машинах они не отрабатывают, так что проблема является актуальной

На 64-битных ОС Windows Контроль устройств и приложений в данный момент не поддерживается, это будет исправлено в следующей версии SEP

Детекта не было. Модуль контроля приложений на двух станциях зарегистрировал два новых процесса - servise.exe и games.scr . Мною эти процессы сразу же были добавлены в правило блокировки приложений. После этого, вот уже больше двух недель я получаю предупреждение о срабатываниях правила блокировки этих процессов. Срабатывания происходят раз 10 за час.

К сожалению, дойти до этих станций и решить проблему на месте пока невозможно ввиду их удаленности. А возможности добавить файл в карантин с помощью модуля контроля приложений не предусмотрено функционалом. Поэтому отправить экземпляр подозрительных файлов на анализ в Симантек пока невозможно.

А проактивная защита молчит? Пробовали увеличивать чувствительность?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А проактивная защита молчит? Пробовали увеличивать чувствительность?

Да, проактивка молчит. Чувствительность была по дефолту, сейчас попробую увеличить.

Значительно увеличил чувствительность. Прошло 12 часов. Все равно проактивка молчит.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASnow, куда же все-таки Вы отправляли образец?

судя по всему отправил в ретейл.

сейчас в бэйсик пошлю...промах...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Свежие базы видят его, проблема больше не актуальна. B)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вирус из другой тематики, но тоже в system32 и тоже поисковики молчат по поводу него. Так что я без понятий, удалять-не удалять.

На этот раз файл в выше названной папке и подпапке drivers agp440.sys содержит сигнатуру руткит-программы RKIT/Krap.B.56228. Что делать с ним ? Тоже удалять ? А что с самим вирусом ? Что это за хрень такая ?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вирус из другой тематики, но тоже в system32 и тоже поисковики молчат по поводу него. Так что я без понятий, удалять-не удалять.

На этот раз файл в выше названной папке и подпапке drivers agp440.sys содержит сигнатуру руткит-программы RKIT/Krap.B.56228. Что делать с ним ? Тоже удалять ? А что с самим вирусом ? Что это за хрень такая ?

ну как же молчат поисковики?... пестрят! http://www.threatexpert.com/report.aspx?md...0e7b15c2e9013f2 + http://row.avira.com/ru/threats/section/fu...krap.b.151.html

Кто его обнаружил? SEP? Прогверку в safe mode запускали?

Отправьте образец в symantec

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS