mesmer

Вирусы остаются у клиентов

В этой теме 4 сообщения

1.Тут вроде было о том, что вирусы, которые определяются другими АВ уже давно, в officescan же не регистрируются.

даже после того, как вышлешь на детектирование, зараза остается не тронутой.

настройки в реал-тайм стоят, в режиме "Все, поддающиеся сканированию".

2. В продукте отсутствует какое-либо подобие эвристики?

3. Когда будет обновлен Damage Cleanup Services со всеми компонентами?

Благодарю.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1.Тут вроде было о том, что вирусы, которые определяются другими АВ уже давно, в officescan же не регистрируются.

даже после того, как вышлешь на детектирование, зараза остается не тронутой.

настройки в реал-тайм стоят, в режиме "Все, поддающиеся сканированию".

Вы выслали образцы на анализ? Что вам ответили из антивирусной лаборатории?

2. В продукте отсутствует какое-либо подобие эвристики?

Эвристика в OfficeScan есть.Обычно в подозрительных файлах обнаруженных эвристикой присутствует слово Generic.

3. Когда будет обновлен Damage Cleanup Services со всеми компонентами?

Благодарю.

Damage Cleanup Services периодически обновляется.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дополнительно (EN-1039288)

http://esupport.trendmicro.com/Pages/Confi...-detection.aspx

Да,это все давно отредактировал, в статье про generic идет речь.

в моем же случае, вот допустим уведолменления за сегодня, здесь о черве:

OfficeScan detected WORM_IRCBOT.DAA on PC-L(user) in company domains.

File: Просканировано DCS

Detection date: 17.03.2010 21:28:01

Action: Обнаружен вирус, лечение невозможно

----

иду в консоль:

17.03.2010 21:28:01 PC-L WORM_IRCBOT.DAA Просканировано DCS DCS Невозможно вылечить файл Решения см. в интерактивной справке. Просмотр

17.03.2010 21:26:45 PL-L WORM_IRCBOT.DAA Fix.exe Сканирование вручную Удален

----

далее смотрю события подробнее:

Дата и время: 17.03.2010 21:26:45

Компьютер: PC-L

Домен: company

Платформа WinXP 5.1.2600

Вирус или злонамеренная программа: WORM_IRCBOT.DAA

Источник заражения:

Зараженный файл: Fix.exe

Путь к файлу: G:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\

Тип сканирования Сканирование вручную

Результат Удален

Дата и время: 17.03.2010 21:28:01

Компьютер: PC-L

Домен: company

Платформа WinXP 5.1.2600

Вирус или злонамеренная программа: WORM_IRCBOT.DAA

Источник заражения:

Зараженный файл: Просканировано DCS

Путь к файлу:

Тип сканирования DCS

Результат Невозможно вылечить файл Решения см. в интерактивной справке.

Т.е. файл уже удален по предыдущему событию? а событие в 21:28 о чем говорит?

И в целом же, замечаю: остаются загруженные во временные файлы интернета *.sys, *.html, *.htm(1), *.js

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох. Читать далее
    • PR55.RP55
      В программе:   BCUninstaller http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/ Есть такие интересные параметры:   <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
        <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource> т.е. путь откуда была установлена программа\компонент. Защищена программа: Да\нет. Путь до файлов. Зарегистрирован, или нет. Указан издатель\производитель\ЭЦП Сайт программы. Обновлялся компонент\программа, или нет. Возможность посмотреть доп. ( Инфо. ) по каждой программе. Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов ) --------- Это всё бы очень пригодилось.    
    • AM_Bot
      Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Читать далее
    • AM_Bot
      Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. Читать далее
    • AM_Bot
      Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Читать далее