Перейти к содержанию
Konstantin Russia

Диагностика прог-скриншотоотправителей (диагностика и удаление)

Recommended Posts

Konstantin Russia

Здравствуйте! И сразу к делу...

Ситуация следующая:

есть подозрение на умело установленный шпион-скриншотоотправитель, или даже на передачу своего ПК в ботнет.

Симптомы:

- пару раз было срабатывание камеры ноутбука в момент работы с конфеденциальной информацией;

- отправленной информации в статистики интернет сессии несколько больше, чем предсказывает работа ПО ПК;

- в момент завершения работы ПК/перезагрузки ПК происходит закрытие неотображаемой, непропичатанной программы в окно "завершении работы";

- легкомысленно, пока не "обжегся", относился к информ. защите своего ПК;

- до сегодняшнего дня по глупости не обновлял среду Java JDE (JRM), которая была с уязвимостью (всеми принятой);

- (опционально добавлю) сталкивался с тем, что происходила утечка информации с которой работал на ПК.

ПК: Windows 7 стартовая, А-сная система: Kaspersky Crystal, переодически DR. Web Curiet!

Есть что-то мощнее и узконаправленнее DR.Web Curiet? Касперский - всем нравится, но предпологаю, что шпион ловко установлен в системный реестр с флэш-носителя в момент моего отсутствия рядом с ПК (такое могло быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia

Добавлю, что скорее всего "шпион" - промышленно-офисная программа для отслеживания действий на ПК сотрудников. Такие есть, но успокою, стоят далеко не в каждом даже офисе.

И это всего лишь предположение.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

сигнатурный скан это хорошо... а ручные методы анализа применялись? начиная с логов авз хотя бы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Konstantin Russia можете для начала проверить систему в нашем сервисе VirusDetector www.virusdetector.ru Если есть что-то вредоносное или подозрительное, то сервис это покажет.

Если что-то будет обнаружено, то пройдите процедуру лечения по правилам здесь http://virusinfo.info/content.php?r=122-page-malwareremoval

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

ПК - моя собственность, в основном личное использование, под конфиденциальной информацию не подрузамевал информацию, относящуюся к коммерческой или гос. тайне.

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Я работающий студент, работать и развиватся стремлюсь так или иначе в области связи или IT, уважающие себя и всех, и не в последнюю очередь законодательство РФ, компании предупреждают о таком способе мониторинга. С информационными объектами составляющие высокорисковую коммерческую и пр. тайну - никогда не работал, соответственно под законным сверх-пристальным вниманием быть никогда не должен. Если факт установления шпионского ПО действителен, думаю это "мониторинг" конкурентами, т.к. с одними работаешь больше - с другими меньше, это рынок, а несмотря на общее дело (связь) - конкуренция между организациями высока. Ну, и конечно, любопытство движет мной, поэтому что-то "полезное" для конкурентов в моей работе и хобби всегда найти можно.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
а ручные методы анализа применялись? начиная с логов авз хотя бы....

Спасибо. Действительно стоит попробывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Успехи есть?

*На всякий случай инструкция для AVZ _http://www.z-oleg.com/secur/avz_doc/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Успехи есть?

Не критично, даже если вдруг зловред в системе есть, да и занят я.

Будет время, попрактикуюсь. Выявлю "зверька" - вам покажу :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×