AM_Bot

В министерстве финансов обнаружен вирус двухлетней давности

В этой теме 7 сообщений

1397138[1].jpgВ ходе аудита систем безопасности, проведенного в министерстве финансов Японии, специалисты обнаружили вредоносное ПО более чем на сотне компьютеров. По имеющимся данным, проникший в систему троян, оставался незамеченным на протяжении двух лет.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно, что гнездится в наших виндузятных министерских сетях.

Тоже, небось, на антивирусы надеются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К сожалению, японцы не знают двух важных вещей:

1. Они не видели результаты этого теста http://www.anti-malware.ru/malware_treatment_test_2011

2. Они не знаю про CureIT и скорее всего про Kaspersky Removal Tool тоже весьма отдаленно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

У японцев наверняка есть многоэшелонная система защиты. Но ведь и аудит был хорош, верно? Повод обновить ПО и ИБ-политики

А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как себе представить применение утилиты для лечения ПК с целью отлова вредоноса, пролетевшего Н эшелонов?

Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP :) Практика показывает, что подобный фокус в крупной сети позволяет найти приличное количество того, о чем никто не подозревает. И делать такое 2 раза в ределю ... А далее плановые и внеплановые проверки (частота их пропорциональна важности ПК) с использованием разнообразного инструментария - указанных CureIt и AVPTool, продвинутых антируткитов, разнообразных менеджеров процессов. Параллельно - мониторинг трафика на предмет активности малварей (и по источникам - пристальная разборка), системы IDS в сети, контроль логов системы антивирусной защиты, доменные политики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Запуск AVZ на всех ПК с сбором карантинов а-ля VirusInfo на FTP :)

Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если бы такое было сказано _хотя бы_ про CureNet или тулзу от Positive Technologies, поверил бы в реалистичность. Но...

Я в сотнях раз на практике вычищал всякую заразу из больших сетей (1000+ ПК) описанным образом, поэтому знаю, что говорю ... особенно смешно слушать в таком случае админа, рассказувающего, как он сканирует есть продуктами от Positive Technologies (как правило конечно ворованными - он дорогой), или разовыми антивирусными сканерами

Допустим, на ПК "условно-легитимная" закладка (коммерческий кейлоггер например, или удаленная управлялка, заботливо поименнованная как svchost.exe ИТ-шником инсайдером) или малварь, не детектируемая сигнатурно (например, заказной троянчик, или что-то самодельное). И толку от указанных программ будет ... ну в общем ровно нуль :) Так как сигнатурного детекта не будет, равно как не будет явной уязвимости. насмотреться на такое мне пришлось, и много - например:

- Remote Admin и ему подобные клоны (условие - чтобы не детектировался сигнатурно большинством антивирей, и ставился как можно проще ... в последнее время TeamView попадается)

- батники в планировщике, создающие левые учетки по расписанию (и готово - черный ход на ПК), или передающие заданные файлы "кому надо" (обычное копирование по сети), или открывающие папки на чтение в заданное время (админ наивно сканирует - все чисто)... кстати менеджер планировщика появился именно в ходе одной такой "зачистки", и дал любопытный результат

- нетипичное использование легитимных программ, например Punto, заботливо поставленные на ПК с включенным журналом (а это попросту делает его кейлоггером, причем визуально ничего не видно ... остается наладить отправку собранного журнала). Или например видел я я как-то SnagIt и его аналоги в роли скриншоттеров

- немного доработанные Интернет-пейджеры (видел я как-то один, доработан всего чуть - никто не детектил его сигнатурно и все считали его белым и пушистым, пока я не заметил в нем небольшую аномалию :) всего 30 байт патченного кода, зато эффект ... ) и почтовые программы

Перечисленные методы просты и при умном применении пробивают даже эшелонированную оборону, если применяются с умом (по понятным причинам я намекнул, как это делается, без деталей).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Bomborgman
      Точно такая же проблема на Premium-версии.
    • Dion
      Всё таки как далеко продвинулись компьютерные технологии по сравнению с начало девяностых годов когда ещё никто в помине не знал, что будет такое  html. А Сейчас уже наверно каждый дошкольник разбирается круче в компьютере  чем в девяностые старшеклассник!
    • ratus
      Со временем в системе все нормально. И еще нюанс, первые 10 минут после загрузки системы значок обновлений с зеленой галочкой. В последствии, он меняется на восклицательный знак оранжевого цвета. Значок отображается на информационной панели антивируса в правом столбце.
    • remontmotory
      Открылась новая организация по ремонту промышленной электроники: сервомоторов(серводвигателей), 
      что может быть весьма удобно для производственников и предприятий России. Теперь отремонтировать оборудование стало проще и возить ближе. 
      И сразу в двух больших городах: Самаре и Тольятти. Любое предприятие может отремонтировать сервомотор в ближайшем из этих городов. 
      Решили поделиться опытом, чтобы начинающие электронщики могли выполнить простой ремонт в домашних условиях Наш тестовый ролик по диагностике и ремонту электроники.
      Публикуем тестовый видеоролик по ведению работ https://www.youtube.com/watch?v=TIjKW7-2fwQ&t=1s
      И начинаем серию технических статей, рассказываем о нюансах работы сервомоторов https://www.remontservo.ru/pages/list-publications.html
    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.