SasZt

Проблема с добавлением новых образцов зловредов

В этой теме 7 сообщений

Добрый день!

Работаю в одном из университетов Украины. Используем лицензионный Symantec Corporate Edition (лицензии на поддержку нет).

В учебных классах выловил 3 образца зловредов не определяемых антивирусом. Проблема в том, что на протяжении МЕСЯЦА не могу их добавить в базу (используя форму https://submit.symantec.com/websubmit/retail.cgi отправляю почти каждый день), система в автоматическом режиме ничего не находит. Вирустотал выдает распознавание этих образцов другими антивирусами.

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Это впервые за 12 лет в моей практике (за это время мною было добавлено в базу около двух сотен образцов). Как можно выйти из такой ситуации?

update:

час назад один образец таки добавили - W32.Ircbrute.D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вирустотал выдает распознавание этих образцов другими антивирусами.
таки добавили - W32.Ircbrute.D

Примерно такой детект? >>>

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Прочтите описание от Symantec от 22 апреля >>>

- подробности о W32.Ircbrute.D >>>

- рекомендации по удалению >>>

Первым делом отключение "Восстановление системы" на заражённых машинах и далее по тексту.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Детект немного другой

Спасибо за ссылки и пояснения насчет поддержки.

С одним разобрались, но есть еще этот и особенно вот этот.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SasZt Да, ребятишки натаскали вам полный набор. :) В таком случае защита должна быть актуальной.

Первым делом отключитесь от сети и сделайте полную проверку системы или хотя бы системного диска.

Потом:

1. Загрузитесь в Safe Mode через F8.

2. Запустите для контроля Менеждер процессов через CTRL+ALT+DELETE.

3. Проверьте наличие в памяти процесса P2P-Worm.Win32.Palevo.jsf, и, если увидите, то завершите его.

4. Произведите поиск по реестру P2P-Worm.Win32.Palevo и удалите все ветки и ключи: например, HKEY_LOCAL_MACHINE\Software\P2P-Worm.Win32.Palevo

5. Зайдите в Program Files и удалите директорию "P2P-Worm.Win32.Palevo", если она там ещё будет.

По другому зловреду, также в безопасном режиме очистите все папки Temp и Temporary Internet Files, включая скрытые директории в Documents and Settings, утилитой очистки или вручную.

Просмотрите директории локальных дисков. Удалите в них все exe-файлы и autorun.inf.

Для окончательной зачистки используйте программу HijackThis, если знаете как ей пользоваться. Если нет, то вот одно из руководств по её использованию.

HijackThis___краткое_руководство.zip

HijackThis___краткое_руководство.zip

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, HijackThis еще не пользовался.

"Руками" я и раньше их вычищал, но это спасает не долго, через пару дней их обратно приносят (как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет

Вы в этом неодиноки. Каждый день вижу весь этот "компот" на десятках компьютеров.

Студенты таскают их к вам от себя. Это новые версии "социальных" зловредов - из соц. сетей, фриварников и варезников.

Кроме того, сейчас много новых модификаций "попрыгунчиков". Есть даже такой, который обходит все уровни защиты - "самолёт-невидимка", у него даже иконка такая же, код позволяет сразу садиться на хвост Проводнику, "место посадки", в основном, в папке C:\WINDOWS\system32 или C:\Documents and Settings\Имя пользователя. Его и мало кто видит при сканировании. Вреда от него почти нет, одни неудобства и психологический дискомфорт, но если их объединить с другими, то полный букет обеспечен - какие-то обрубятся защитой, а другие пролетят и сядут.

Другие банально валятся толпой и оседают в основные системные папки и директории Documents and Settings\Имя пользователя.

С удалением неудалимого, вам может очень помочь ERD Commander (описание). Загружаетесь с поддержкой установленной ОС или без поддержки.

Без поддержки можно удалить все скрытые папки и файлы, созданные зловредами, а также удалить RECYCLER, System Volume Information и т.н. "ложные корзины", а с поддержкой можно вычистить автозагрузку, сделать нужные изменения в файлах загрузки, конфигурации, удалить некоторые ключи реестра, созданные зловредами и мн. др.

Также ознакомьтесь вот с этим и этим моими постами.

Почиститесь капитально и обновите лицензию на Symantec или приоретите новую.

Сергей Краснов вам писал выше. Обращайтесь к нему, он как раз из Symantec.

У вас опция личных сообщений пока закрыта, откроется после 5-го или 10-го поста. Пока не открылась по всем вопросам пишите здесь.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все же странное отношение у Семантика к образцам из формы retail.cgi, прошла еще одна неделя, два выше указанных файла так и не детектятся :), хотя зловреды там явно есть...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Антивирус Куранина сегодня был кардинально обновлен. Новый англоязычный интерфейс, легкие настройки и никаких скриптов (дабы не говорили, что я что-то украл у Бабушкина).   Теперь всю работу выполняет ядро антивируса, без каких-либо посторонних процессов. Также появилась продвинутая защита от троянов-шифровальщиков. Желающие могут проверить на ВМ..   Аналогично, теперь программа получила еще большую HIPS технологию защиты. Новые обновления стараюсь выпускать раз в час, в зависимости от обстоятельств, но не реже чем в день.   Предпочтительные ОС - начиная с Windows 7, включая серверные ОС от Windows Server 2008. Windows XP и Server 2003 не рекомендую в связи с тем, что на них не работает самозащита.   Думаю, на этом все. Сайт - https://kuranin.org
       
    • AM_Bot
      Персональные данные около 200 млн избирателей США находились в открытом доступе в течение 14 дней в июне 2017 года, утечку допустила аналитическая компания Deep Root Analytics, работавшая по контракту с Республиканской партией США. Базу данных объемом 25 Тбайт мог скачать любой пользователь из облачного хранилища файлов компании Amazon. Читать далее
    • AM_Bot
      Бывший президент США Барак Обама в 2016 году одобрил размещение кибероружия в системах российской инфраструктуры, сообщает Washington Post. В ходе собственного расследования журналисты выяснили, что это оружие является "цифровым эквивалентом бомбы" и может сработать в случае критического обострения отношений с Россией. Читать далее
    • AM_Bot
      Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько потенциально опасных приложений, которые несут угрозу главным образом пользователям на территории Украины. Эти программы позволяют обойти блокировку сайтов «ВКонтакте» и «Одноклассники», но делают это небезопасным способом. Читать далее
    • AM_Bot
      Сегодня группа компаний (ГК) InfoWatch открыла офис дочерней компании «ИнфоВотч-Волга» в Особой экономической зоне «Иннополис». В торжественной церемонии открытия «ИнфоВотч-Волга» приняли участие мэр Иннополиса Руслан Шагалеев, генеральный директор АО «Особая экономическая зона «Иннополис» Игорь Носов,  ректор Университета Иннополис Александр Тормасов и президент ГК InfoWatch Наталья Касперская. Читать далее