SasZt

Проблема с добавлением новых образцов зловредов

В этой теме 7 сообщений

Добрый день!

Работаю в одном из университетов Украины. Используем лицензионный Symantec Corporate Edition (лицензии на поддержку нет).

В учебных классах выловил 3 образца зловредов не определяемых антивирусом. Проблема в том, что на протяжении МЕСЯЦА не могу их добавить в базу (используя форму https://submit.symantec.com/websubmit/retail.cgi отправляю почти каждый день), система в автоматическом режиме ничего не находит. Вирустотал выдает распознавание этих образцов другими антивирусами.

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Это впервые за 12 лет в моей практике (за это время мною было добавлено в базу около двух сотен образцов). Как можно выйти из такой ситуации?

update:

час назад один образец таки добавили - W32.Ircbrute.D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вирустотал выдает распознавание этих образцов другими антивирусами.
таки добавили - W32.Ircbrute.D

Примерно такой детект? >>>

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Прочтите описание от Symantec от 22 апреля >>>

- подробности о W32.Ircbrute.D >>>

- рекомендации по удалению >>>

Первым делом отключение "Восстановление системы" на заражённых машинах и далее по тексту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Детект немного другой

Спасибо за ссылки и пояснения насчет поддержки.

С одним разобрались, но есть еще этот и особенно вот этот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SasZt Да, ребятишки натаскали вам полный набор. :) В таком случае защита должна быть актуальной.

Первым делом отключитесь от сети и сделайте полную проверку системы или хотя бы системного диска.

Потом:

1. Загрузитесь в Safe Mode через F8.

2. Запустите для контроля Менеждер процессов через CTRL+ALT+DELETE.

3. Проверьте наличие в памяти процесса P2P-Worm.Win32.Palevo.jsf, и, если увидите, то завершите его.

4. Произведите поиск по реестру P2P-Worm.Win32.Palevo и удалите все ветки и ключи: например, HKEY_LOCAL_MACHINE\Software\P2P-Worm.Win32.Palevo

5. Зайдите в Program Files и удалите директорию "P2P-Worm.Win32.Palevo", если она там ещё будет.

По другому зловреду, также в безопасном режиме очистите все папки Temp и Temporary Internet Files, включая скрытые директории в Documents and Settings, утилитой очистки или вручную.

Просмотрите директории локальных дисков. Удалите в них все exe-файлы и autorun.inf.

Для окончательной зачистки используйте программу HijackThis, если знаете как ей пользоваться. Если нет, то вот одно из руководств по её использованию.

HijackThis___краткое_руководство.zip

HijackThis___краткое_руководство.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, HijackThis еще не пользовался.

"Руками" я и раньше их вычищал, но это спасает не долго, через пару дней их обратно приносят (как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет

Вы в этом неодиноки. Каждый день вижу весь этот "компот" на десятках компьютеров.

Студенты таскают их к вам от себя. Это новые версии "социальных" зловредов - из соц. сетей, фриварников и варезников.

Кроме того, сейчас много новых модификаций "попрыгунчиков". Есть даже такой, который обходит все уровни защиты - "самолёт-невидимка", у него даже иконка такая же, код позволяет сразу садиться на хвост Проводнику, "место посадки", в основном, в папке C:\WINDOWS\system32 или C:\Documents and Settings\Имя пользователя. Его и мало кто видит при сканировании. Вреда от него почти нет, одни неудобства и психологический дискомфорт, но если их объединить с другими, то полный букет обеспечен - какие-то обрубятся защитой, а другие пролетят и сядут.

Другие банально валятся толпой и оседают в основные системные папки и директории Documents and Settings\Имя пользователя.

С удалением неудалимого, вам может очень помочь ERD Commander (описание). Загружаетесь с поддержкой установленной ОС или без поддержки.

Без поддержки можно удалить все скрытые папки и файлы, созданные зловредами, а также удалить RECYCLER, System Volume Information и т.н. "ложные корзины", а с поддержкой можно вычистить автозагрузку, сделать нужные изменения в файлах загрузки, конфигурации, удалить некоторые ключи реестра, созданные зловредами и мн. др.

Также ознакомьтесь вот с этим и этим моими постами.

Почиститесь капитально и обновите лицензию на Symantec или приоретите новую.

Сергей Краснов вам писал выше. Обращайтесь к нему, он как раз из Symantec.

У вас опция личных сообщений пока закрыта, откроется после 5-го или 10-го поста. Пока не открылась по всем вопросам пишите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все же странное отношение у Семантика к образцам из формы retail.cgi, прошла еще одна неделя, два выше указанных файла так и не детектятся :), хотя зловреды там явно есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее