Stayer

OSCE 10.0 SP1 Rus и вирус TROJ_DELF.JEN

В этой теме 6 сообщений

История следующая: примерно полгода назад, был обнаружен вирус, который не обнаруживался Трендом. Вирус отправили в trendlabs, его добавили в базы. Все хорошо. Полмесяца назад ситуация повторилась. Нашелся вирус, отправили, добавили в базу. Неделю назад в третий раз нашелся вирус, не обнаруживаемый Трендом.

Все бы хорошо, если бы это не был один и тот же вирус. Точнее это, похоже, каждый раз небольшая модификация исходного вируса. И каждый раз, пока не добавят сигнатуру в базу, эта новая модификация не видится. Во всех трех случаях он определяется как TROJ_DELF.JEN (заражает exe-файлы. Очень неприятный вирус). Такая ситуация вызывает недоумение-а где эвристика Тренда и как быть дальше, если через неделю появится еще модификация?

На файловых серверах этот вопрос решили радикально-перешли на другой антивирус, который вылечивает файлы. Тренд, кстати, не может вылечить этот TROJ_DELF.JEN-обнаруживает, когда может и удаляет файл. Но остаются пользовательские машины. Каждый раз такая песня с одним и тем же вирусом будет напрягать.

Хотелось бы услышать комментарии или может быть имеет смысл задать вопрос разработчикам-почему тренд постоянно спотыкается об один и тот же вирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что бы совсем "недетектилось" - такое было при выключенной эвристике.

По поводу лечения - да была похожая ситуация, помогла только премиум поддержка.

Пока не лечился - пользовались outbreak protection.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Stayer,

Интересно, а что является источником заражения - от куда в локалку попадает этот вирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

lepa,

Outbreak Prevention-это в русской версии "предотвращение эпидемии"? Ни разу не пользовался. Можно где почитать подробнее про это, а то на странице настройки только текстбокс и кнопочка "Включить режим предотвращения эпидемии". А то кажется как-то слишком просто-выбираешь "плохие" машины, нажимаешь Включить и что происходит дальше?

Pavel Yablonskiy,

У нас это случилось на фтп. Но у нас есть другие сервера, где у юзеров сетевые диски подключены. Сейчас беды нет, на серверах поставили другой антивирус, последняя модификация вируса, котрую мы нашли, в базы Тренда добавлена, так что и у пользователей все нормально. Как я понял, один из вариантов при появлении нового вируса-использовать "предотвращение эпидемии". Но интересен другой вопрос-как может быть, что на модификацию одного вируса (который до этого определялся на раз) реакция эвристического анализатора нулевая? На другие подозрительные файлы эвристика срабатывает, например, TROJ_Generic.DIT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Outbreak Prevention-это в русской версии "предотвращение эпидемии"? Ни разу не пользовался. Можно где почитать подробнее про это, а то на странице настройки только текстбокс и кнопочка "Включить режим предотвращения эпидемии"?

да, в русской такой вариант.

почитать про эту опцию можно в документации: ftp://ftp.antivirus.com/documentation/gui...can10SP1_AG.pdf

начиная со стр.234

Но интересен другой вопрос-как может быть, что на модификацию одного вируса (который до этого определялся на раз) реакция эвристического анализатора нулевая? На другие подозрительные файлы эвристика срабатывает, например, TROJ_Generic.DIT.

Эвристика вещь опасная с точки зрения корпоративного продукта- слишком велика вероятность ложного срабатывания. В связи с этим, ее функциональность в OfficeScan настроена таким образом, чтобы отрабатывать только по наиболее характерным семействам зловредов (указанный вами вариант, по всей видимости, таковым в компании не считают). Могу по опыту сказать следующее - при отправке образцов, относящихся к одной группе вируса, достаточно длительное время в базу добавляют только отдельные сигнатуры. На уровне эвристики очень долго проверяют данные в связи с указанным выше опасением (ошибка может дорого обойтись).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Николай Романов,

Спасибо за разъяснения. Теперь ясно почему так, а не по-другому ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort