Перейти к содержанию
Болотов Константин

Очередной пропуск Autorun Symantec Endpoint Protection

Recommended Posts

Болотов Константин

Будьте бдительны SEP пропустил очердной вирь который лловится уже почти всем включая Макафи Касперсим и т.п. Превинитвка тоже молчит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
Shell

Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

Поделитесь пожалуйста примером данной политики.

Заранее благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Shaulin, есть стандартные шаблоны в SEP.

Моя политика - в аттаче.

autorun.rar

autorun.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Болотов Константин

Вообщем вирус нехилый по классификации DR Web Backdoor.Siggen.14353

В симантек ессно отправил но это кажись полиморф.В выходные симантек начал находить какие то куски от него и удалять, но это не помогает вредоносная активность выражается в рассылке СПАМа пока по сети не распостраняется, вроде, если не считать все шары подключенные содержат данный inf файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Константин, имя ini файла меняется? Что в это ini?

Что говорит о вирусе проверка тела на virustotal (если конешно вы тело нашли).

Пытались найти его процессы?

Судя по вирусинфо, он в

spools.exe

cftmon.exe

У даниловцев чуть ли не ежедневно в базах новые разновидности этого виря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
    • PR55.RP55
      Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.    
    • PR55.RP55
      По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
×