Перейти к содержанию
Konstantin Russia

Диагностика прог-скриншотоотправителей (диагностика и удаление)

Recommended Posts

Konstantin Russia

Здравствуйте! И сразу к делу...

Ситуация следующая:

есть подозрение на умело установленный шпион-скриншотоотправитель, или даже на передачу своего ПК в ботнет.

Симптомы:

- пару раз было срабатывание камеры ноутбука в момент работы с конфеденциальной информацией;

- отправленной информации в статистики интернет сессии несколько больше, чем предсказывает работа ПО ПК;

- в момент завершения работы ПК/перезагрузки ПК происходит закрытие неотображаемой, непропичатанной программы в окно "завершении работы";

- легкомысленно, пока не "обжегся", относился к информ. защите своего ПК;

- до сегодняшнего дня по глупости не обновлял среду Java JDE (JRM), которая была с уязвимостью (всеми принятой);

- (опционально добавлю) сталкивался с тем, что происходила утечка информации с которой работал на ПК.

ПК: Windows 7 стартовая, А-сная система: Kaspersky Crystal, переодически DR. Web Curiet!

Есть что-то мощнее и узконаправленнее DR.Web Curiet? Касперский - всем нравится, но предпологаю, что шпион ловко установлен в системный реестр с флэш-носителя в момент моего отсутствия рядом с ПК (такое могло быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia

Добавлю, что скорее всего "шпион" - промышленно-офисная программа для отслеживания действий на ПК сотрудников. Такие есть, но успокою, стоят далеко не в каждом даже офисе.

И это всего лишь предположение.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

сигнатурный скан это хорошо... а ручные методы анализа применялись? начиная с логов авз хотя бы....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Konstantin Russia можете для начала проверить систему в нашем сервисе VirusDetector www.virusdetector.ru Если есть что-то вредоносное или подозрительное, то сервис это покажет.

Если что-то будет обнаружено, то пройдите процедуру лечения по правилам здесь http://virusinfo.info/content.php?r=122-page-malwareremoval

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Может и зловред, а может и нет.

ПК - Служебный; который иногда переносите за территорию предприятия по рабочим целям, или Ваша собственность; но используется и в рабочем процессе?

ПК - моя собственность, в основном личное использование, под конфиденциальной информацию не подрузамевал информацию, относящуюся к коммерческой или гос. тайне.

В трудовом договоре итп, приказе, соглашении..., прямо о таком мониторинге/или нечто про наблюдение всеми возможными способами за исполнением работником положений о коммерческой и иной тайне ... - текст был?

Я работающий студент, работать и развиватся стремлюсь так или иначе в области связи или IT, уважающие себя и всех, и не в последнюю очередь законодательство РФ, компании предупреждают о таком способе мониторинга. С информационными объектами составляющие высокорисковую коммерческую и пр. тайну - никогда не работал, соответственно под законным сверх-пристальным вниманием быть никогда не должен. Если факт установления шпионского ПО действителен, думаю это "мониторинг" конкурентами, т.к. с одними работаешь больше - с другими меньше, это рынок, а несмотря на общее дело (связь) - конкуренция между организациями высока. Ну, и конечно, любопытство движет мной, поэтому что-то "полезное" для конкурентов в моей работе и хобби всегда найти можно.

Отредактировал Konstantin Russia

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
а ручные методы анализа применялись? начиная с логов авз хотя бы....

Спасибо. Действительно стоит попробывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Успехи есть?

*На всякий случай инструкция для AVZ _http://www.z-oleg.com/secur/avz_doc/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Konstantin Russia
Успехи есть?

Не критично, даже если вдруг зловред в системе есть, да и занят я.

Будет время, попрактикуюсь. Выявлю "зверька" - вам покажу :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×