Перейти к содержанию
AlexCh

Trend Micro не определяет большое количество серьёзных вирусов

Recommended Posts

AlexCh

В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

У меня лично TM в эксплуатации года 3. И за это время сделал свои субъективные выводы:

1) суммарная антивирусная база TM слабовата.

2) скорость попадания новых вирусов в её - небольшая.

клиентов ~ 700.

На другой продукт не перехожу так как сейчас это не очень просто сделать в силу инерционности в корпоративной среде, и первоначальный выбор продукта - не мой.

как и года 3 назад я бы выбрал решение Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

1. Поставьте последнюю версию и включите Web Reputation - уровень заразы снизится до уровня конкурентов

2. Включите на почтовом шлюзе Email Reputation

Во втором квартале выйдет OfficeScan 10, в котором будет File Reputation тогда защита станет еще лучше.

Это если о продукте. Если о вашей сети, то проанализируйте, почему (кроме Trend Micro) произошли эпидемии и постарайтесь предотвратить их превентивными мерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Имеется сеть с 300-ми ПК. Проблема аналогичная.

Вирусы, которые популярны в российско-украинском сегменте сети, в базах trendmicro появляются с существенным запозданием.

Причины как думается две:

- небольшое количество домашних пользователей с продуктами trendmicro на пост-советском пространстве, а они первооткрыватели новых вирусов :)

- отсутствие локализованой технической поддержки

К чести техподдержки trendmicro могу отметить - все запросы по поводу новых вирусов были отработаны. И отработыватються очень оперативно - 8-12 часов максимум.

От новых напастей спасает своевременное установка заплаток и минимальные права пользователей на компьютерах.

Если этого не делать - сразу получаем зоопарк самых разных зловредов.

ps. на данный момент тестирую officescan 10 beta 4 c включённым режимом cloud-scan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Поставьте последнюю версию и включите Web Reputation - уровень заразы снизится до уровня конкурентов

Web Reputation - можно поподробнее, у себя на сервере такого не нашел

Trend Micro OfficeScan

Version: 8.0

Build: 1094

И как это может снизить уровень заразы, если записей об этой заразе нет в базах тренда?

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Меню Network Computer\Web Reputation\

там есть настройки для данного функционала.

Web Reputation позволяет блокировать доступ к сайтам, которые на данный момент распространяют зловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Меню Network Computer\Web Reputation\

Нет у меня такого, может потому что нет лицензий на Web threat protection for desktops и Web threat protection for servers?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Фактически это значит что у вас так же не выключена функциональность Anti-Spyware. Активационный ключ для Web threat protection у вас должен быть, он уже давно поставляется вместе с ключами для OSCE в любой комплектации.По поводу ключа напишите мне в личку, если у вас легальная лицензия, то ключ мы ваш найдем. А SP1 for OSCE 8.0 у вас установлен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

согласен, проблемы на 100% аналогичные. а теперь еще и с конфикером боремся. тренда все сканирует, находит, удаляет, а при запуске каспер кидо киллер - опять 25

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

А вот с conficker'ом как раз проблем нет.

trend всё выловил и вычистил

и встроенный фаер детектит откуда идёт размножение (откуда, когда и кто)

так что нужно вовремя обновления ставить на windows :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

ну допустим мой косяк, не поставили вовремя обновления (всуса нет, и инета у обычных пользователей нет). задача вычистить - а не получается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Фактически это значит что у вас так же не выключена функциональность Anti-Spyware. Активационный ключ для Web threat protection у вас должен быть, он уже давно поставляется вместе с ключами для OSCE в любой комплектации.По поводу ключа напишите мне в личку, если у вас легальная лицензия, то ключ мы ваш найдем. А SP1 for OSCE 8.0 у вас установлен?

Нашел лицензии, поставил, включил Enable Web Reputation policy.

и встроенный фаер детектит откуда идёт размножение (откуда, когда и кто)

так что нужно вовремя обновления ставить на windows

В каком месте можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

И если фаер был отключен при установке osce, как его можно безболезненно доставить?

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
ну допустим мой косяк, не поставили вовремя обновления (всуса нет, и инета у обычных пользователей нет). задача вычистить - а не получается

Автозапуск на всех дисках отключили? Службу Планировщик заданий отключили? (Следует проверить задания там; job1, job2)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Нашел лицензии, поставил, включил Enable Web Reputation policy.

В каком месте можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

И если фаер был отключен при установке osce, как его можно безболезненно доставить?

Client Firewall ставится всегда. В разделе управления лицензиями есть галочка, которая его запускает.

согласен, проблемы на 100% аналогичные. а теперь еще и с конфикером боремся. тренда все сканирует, находит, удаляет, а при запуске каспер кидо киллер - опять 25

Может быть это поможет

DOWNAD_CONFICKER_032709.pdf

DOWNAD_CONFICKER_032709.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Client Firewall ставится всегда. В разделе управления лицензиями есть галочка, которая его запускает.

Включен

И всё-таки, где можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Logs\Network computer logs\Security Risks\

Выбираем нужный домен - View Logs\Firewall Logs\

В окошке выбираем период и жмём кнопку Notfy Clients а затем Display Logs

и смотрим кто является источником проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Logs\Network computer logs\Security Risks\

Выбираем нужный домен - View Logs\Firewall Logs\

В окошке выбираем период и жмём кнопку Notfy Clients а затем Display Logs

и смотрим кто является источником проблем

Я так пробовал делать, всегда выдаёт пустую таблицу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Networked Computers\Firewall\Profiles

Проверьте All clients profile (или другой профиль) активированы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Networked Computers\Firewall\Profiles

Проверьте All clients profile (или другой профиль) активированы?

напротив All clients profile enabled, только внутри ничего не настроено кроме Policy: All acces policy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Развожу руками.... При тех же настройках всё работает..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh

Фаер заработал, всё показывает, вот только в View - Virus/Malware Logs - в таблице Infection Source пустое значение, как сделать, чтобы он показывал источник?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Если фаер заработал - источник нужно искать анализируя его данные.

OfficeScan детектирует conficker как: Net virus -- MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

если в поле "Direction" написано Receive - то смотри поле "Remote Host" там указан ip компа который распространяет conficker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh

Да это всё понятно, просто не понятно почему всё-таки нет данных по Infection Source в Virus/Malware Logs

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×