Перейти к содержанию
Konstantin Russia

Диагностика прог-скриншотоотправителей (диагностика и удаление)

Recommended Posts

Konstantin Russia

Здравствуйте! И сразу к делу...

Ситуация следующая:

есть подозрение на умело установленный шпион-скриншотоотправитель, или даже на передачу своего ПК в ботнет.

Симптомы:

- пару раз было срабатывание камеры ноутбука в момент работы с конфеденциальной информацией;

- отправленной информации в статистики интернет сессии несколько больше, чем предсказывает работа ПО ПК;

- в момент завершения работы ПК/перезагрузки ПК происходит закрытие неотображаемой, непропичатанной программы в окно "завершении работы";

- легкомысленно, пока не "обжегся", относился к информ. защите своего ПК;

- до сегодняшнего дня по глупости не обновлял среду Java JDE (JRM), которая была с уязвимостью (всеми принятой);

- (опционально добавлю) сталкивался с тем, что происходила утечка информации с которой работал на ПК.

ПК: Windows 7 стартовая, А-сная система: Kaspersky Crystal, переодически DR. Web Curiet!

Есть что-то мощнее и узконаправленнее DR.Web Curiet? Касперский - всем нравится, но предпологаю, что шпион ловко установлен в системный реестр с флэш-носителя в момент моего отсутствия рядом с ПК (такое могло быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia

Добавлю, что скорее всего "шпион" - промышленно-офисная программа для отслеживания действий на ПК сотрудников. Такие есть, но успокою, стоят далеко не в каждом даже офисе.

И это всего лишь предположение.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

сигнатурный скан это хорошо... а ручные методы анализа применялись? начиная с логов авз хотя бы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Konstantin Russia можете для начала проверить систему в нашем сервисе VirusDetector www.virusdetector.ru Если есть что-то вредоносное или подозрительное, то сервис это покажет.

Если что-то будет обнаружено, то пройдите процедуру лечения по правилам здесь http://virusinfo.info/content.php?r=122-page-malwareremoval

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

ПК - моя собственность, в основном личное использование, под конфиденциальной информацию не подрузамевал информацию, относящуюся к коммерческой или гос. тайне.

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Я работающий студент, работать и развиватся стремлюсь так или иначе в области связи или IT, уважающие себя и всех, и не в последнюю очередь законодательство РФ, компании предупреждают о таком способе мониторинга. С информационными объектами составляющие высокорисковую коммерческую и пр. тайну - никогда не работал, соответственно под законным сверх-пристальным вниманием быть никогда не должен. Если факт установления шпионского ПО действителен, думаю это "мониторинг" конкурентами, т.к. с одними работаешь больше - с другими меньше, это рынок, а несмотря на общее дело (связь) - конкуренция между организациями высока. Ну, и конечно, любопытство движет мной, поэтому что-то "полезное" для конкурентов в моей работе и хобби всегда найти можно.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
а ручные методы анализа применялись? начиная с логов авз хотя бы....

Спасибо. Действительно стоит попробывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Успехи есть?

*На всякий случай инструкция для AVZ _http://www.z-oleg.com/secur/avz_doc/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Успехи есть?

Не критично, даже если вдруг зловред в системе есть, да и занят я.

Будет время, попрактикуюсь. Выявлю "зверька" - вам покажу :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×