Очередной пропуск Autorun Symantec Endpoint Protection

[Болотов Константин 10]

Будьте бдительны SEP пропустил очердной вирь который лловится уже почти всем включая Макафи Касперсим и т.п. Превинитвка тоже молчит

[2600 64]

В таких случаях их отсылают в Symantec...

Передача подозрительных файлов - МЕДЛЕННО

Передача подозрительных файлов - БЫСТРО - ТРЕБУЕТСЯ ДЕЙСТВУЮЩИЙ КОНТРАКТ BASIC

Передача подозрительных файлов - БЫСТРО - ТРЕБУЕТСЯ ДЕЙСТВУЮЩИЙ КОНТРАКТ ESSENTIAL

Передача подозрительных файлов - ДО 2 ЧАСОВ - ТРЕБУЕТСЯ ДЕЙСТВУЮЩИЙ КОНТРАКТ BCS

[Shell 301]

Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

[Shaulin 0]

Уже заблокированы с мая прошлого года доступ к autorun.* на всех девайсах политикой SEP.

Исключение для процессов rtvscan.exe и far. Первый -понятно для чего, второй чтобы посмотреть можно было содержимое Inf для легальной инсталляшки.

Поделитесь пожалуйста примером данной политики.

Заранее благодарен.

[Shell 301]

Shaulin, есть стандартные шаблоны в SEP.

Моя политика - в аттаче.

autorun.rar

autorun.rar

[Болотов Константин 10]

Вообщем вирус нехилый по классификации DR Web Backdoor.Siggen.14353

В симантек ессно отправил но это кажись полиморф.В выходные симантек начал находить какие то куски от него и удалять, но это не помогает вредоносная активность выражается в рассылке СПАМа пока по сети не распостраняется, вроде, если не считать все шары подключенные содержат данный inf файл.

[Shell 301]

Константин, имя ini файла меняется? Что в это ini?

Что говорит о вирусе проверка тела на virustotal (если конешно вы тело нашли).

Пытались найти его процессы?

Судя по вирусинфо, он в

spools.exe

cftmon.exe

У даниловцев чуть ли не ежедневно в базах новые разновидности этого виря.