Перейти к содержанию
Konstantin Russia

Диагностика прог-скриншотоотправителей (диагностика и удаление)

Recommended Posts

Konstantin Russia

Здравствуйте! И сразу к делу...

Ситуация следующая:

есть подозрение на умело установленный шпион-скриншотоотправитель, или даже на передачу своего ПК в ботнет.

Симптомы:

- пару раз было срабатывание камеры ноутбука в момент работы с конфеденциальной информацией;

- отправленной информации в статистики интернет сессии несколько больше, чем предсказывает работа ПО ПК;

- в момент завершения работы ПК/перезагрузки ПК происходит закрытие неотображаемой, непропичатанной программы в окно "завершении работы";

- легкомысленно, пока не "обжегся", относился к информ. защите своего ПК;

- до сегодняшнего дня по глупости не обновлял среду Java JDE (JRM), которая была с уязвимостью (всеми принятой);

- (опционально добавлю) сталкивался с тем, что происходила утечка информации с которой работал на ПК.

ПК: Windows 7 стартовая, А-сная система: Kaspersky Crystal, переодически DR. Web Curiet!

Есть что-то мощнее и узконаправленнее DR.Web Curiet? Касперский - всем нравится, но предпологаю, что шпион ловко установлен в системный реестр с флэш-носителя в момент моего отсутствия рядом с ПК (такое могло быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia

Добавлю, что скорее всего "шпион" - промышленно-офисная программа для отслеживания действий на ПК сотрудников. Такие есть, но успокою, стоят далеко не в каждом даже офисе.

И это всего лишь предположение.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

сигнатурный скан это хорошо... а ручные методы анализа применялись? начиная с логов авз хотя бы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Konstantin Russia можете для начала проверить систему в нашем сервисе VirusDetector www.virusdetector.ru Если есть что-то вредоносное или подозрительное, то сервис это покажет.

Если что-то будет обнаружено, то пройдите процедуру лечения по правилам здесь http://virusinfo.info/content.php?r=122-page-malwareremoval

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

ПК - моя собственность, в основном личное использование, под конфиденциальной информацию не подрузамевал информацию, относящуюся к коммерческой или гос. тайне.

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Я работающий студент, работать и развиватся стремлюсь так или иначе в области связи или IT, уважающие себя и всех, и не в последнюю очередь законодательство РФ, компании предупреждают о таком способе мониторинга. С информационными объектами составляющие высокорисковую коммерческую и пр. тайну - никогда не работал, соответственно под законным сверх-пристальным вниманием быть никогда не должен. Если факт установления шпионского ПО действителен, думаю это "мониторинг" конкурентами, т.к. с одними работаешь больше - с другими меньше, это рынок, а несмотря на общее дело (связь) - конкуренция между организациями высока. Ну, и конечно, любопытство движет мной, поэтому что-то "полезное" для конкурентов в моей работе и хобби всегда найти можно.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
а ручные методы анализа применялись? начиная с логов авз хотя бы....

Спасибо. Действительно стоит попробывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Успехи есть?

*На всякий случай инструкция для AVZ _http://www.z-oleg.com/secur/avz_doc/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Успехи есть?

Не критично, даже если вдруг зловред в системе есть, да и занят я.

Будет время, попрактикуюсь. Выявлю "зверька" - вам покажу :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • Hoppi
      Мне нравится квартиры посуточно снимать, это дешевле выходит чем отели. 
    • SemenovaI
      Хм, отличная идея. Я тоже люблю путешествовать самостоятельно. На Букинге можно заказать отели и билеты на транспорт, а что бы экономнее было так можно воспользоваться при заказе кэшбэком. А еще советую дождаться Черной пятницы https://letyshops.com/chernaya-pyatnitsa и сделать покупки на Букинге и других интернет магазинах с солидной экономией. 
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
×