Перейти к содержанию
Болотов Константин

Очередной пропуск Autorun Symantec Endpoint Protection

Recommended Posts

Болотов Константин

Будьте бдительны SEP пропустил очердной вирь который лловится уже почти всем включая Макафи Касперсим и т.п. Превинитвка тоже молчит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
Shell

Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

Поделитесь пожалуйста примером данной политики.

Заранее благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Shaulin, есть стандартные шаблоны в SEP.

Моя политика - в аттаче.

autorun.rar

autorun.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Болотов Константин

Вообщем вирус нехилый по классификации DR Web Backdoor.Siggen.14353

В симантек ессно отправил но это кажись полиморф.В выходные симантек начал находить какие то куски от него и удалять, но это не помогает вредоносная активность выражается в рассылке СПАМа пока по сети не распостраняется, вроде, если не считать все шары подключенные содержат данный inf файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Константин, имя ini файла меняется? Что в это ini?

Что говорит о вирусе проверка тела на virustotal (если конешно вы тело нашли).

Пытались найти его процессы?

Судя по вирусинфо, он в

spools.exe

cftmon.exe

У даниловцев чуть ли не ежедневно в базах новые разновидности этого виря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×