Перейти к содержанию
AlexCh

Trend Micro не определяет большое количество серьёзных вирусов

Recommended Posts

AlexCh

В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

У меня лично TM в эксплуатации года 3. И за это время сделал свои субъективные выводы:

1) суммарная антивирусная база TM слабовата.

2) скорость попадания новых вирусов в её - небольшая.

клиентов ~ 700.

На другой продукт не перехожу так как сейчас это не очень просто сделать в силу инерционности в корпоративной среде, и первоначальный выбор продукта - не мой.

как и года 3 назад я бы выбрал решение Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В сети настроен корпоративный антивирус trend micro, базы обновляются регулярно, но очень часто происходят ипедемии в сети, после того как тренд пропускает серьёзные вирусные угрозы. При этом, антивирусные продукты "DrWeb, Kaspersky" данные вирусы находят и обезвреживают.

Вопрос у меня такой, у кого встречались подобные проблемы, может быть у меня сервер тренда настроен как то не так.

1. Поставьте последнюю версию и включите Web Reputation - уровень заразы снизится до уровня конкурентов

2. Включите на почтовом шлюзе Email Reputation

Во втором квартале выйдет OfficeScan 10, в котором будет File Reputation тогда защита станет еще лучше.

Это если о продукте. Если о вашей сети, то проанализируйте, почему (кроме Trend Micro) произошли эпидемии и постарайтесь предотвратить их превентивными мерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Имеется сеть с 300-ми ПК. Проблема аналогичная.

Вирусы, которые популярны в российско-украинском сегменте сети, в базах trendmicro появляются с существенным запозданием.

Причины как думается две:

- небольшое количество домашних пользователей с продуктами trendmicro на пост-советском пространстве, а они первооткрыватели новых вирусов :)

- отсутствие локализованой технической поддержки

К чести техподдержки trendmicro могу отметить - все запросы по поводу новых вирусов были отработаны. И отработыватються очень оперативно - 8-12 часов максимум.

От новых напастей спасает своевременное установка заплаток и минимальные права пользователей на компьютерах.

Если этого не делать - сразу получаем зоопарк самых разных зловредов.

ps. на данный момент тестирую officescan 10 beta 4 c включённым режимом cloud-scan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Поставьте последнюю версию и включите Web Reputation - уровень заразы снизится до уровня конкурентов

Web Reputation - можно поподробнее, у себя на сервере такого не нашел

Trend Micro OfficeScan

Version: 8.0

Build: 1094

И как это может снизить уровень заразы, если записей об этой заразе нет в базах тренда?

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Меню Network Computer\Web Reputation\

там есть настройки для данного функционала.

Web Reputation позволяет блокировать доступ к сайтам, которые на данный момент распространяют зловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Меню Network Computer\Web Reputation\

Нет у меня такого, может потому что нет лицензий на Web threat protection for desktops и Web threat protection for servers?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Фактически это значит что у вас так же не выключена функциональность Anti-Spyware. Активационный ключ для Web threat protection у вас должен быть, он уже давно поставляется вместе с ключами для OSCE в любой комплектации.По поводу ключа напишите мне в личку, если у вас легальная лицензия, то ключ мы ваш найдем. А SP1 for OSCE 8.0 у вас установлен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

согласен, проблемы на 100% аналогичные. а теперь еще и с конфикером боремся. тренда все сканирует, находит, удаляет, а при запуске каспер кидо киллер - опять 25

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

А вот с conficker'ом как раз проблем нет.

trend всё выловил и вычистил

и встроенный фаер детектит откуда идёт размножение (откуда, когда и кто)

так что нужно вовремя обновления ставить на windows :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

ну допустим мой косяк, не поставили вовремя обновления (всуса нет, и инета у обычных пользователей нет). задача вычистить - а не получается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Фактически это значит что у вас так же не выключена функциональность Anti-Spyware. Активационный ключ для Web threat protection у вас должен быть, он уже давно поставляется вместе с ключами для OSCE в любой комплектации.По поводу ключа напишите мне в личку, если у вас легальная лицензия, то ключ мы ваш найдем. А SP1 for OSCE 8.0 у вас установлен?

Нашел лицензии, поставил, включил Enable Web Reputation policy.

и встроенный фаер детектит откуда идёт размножение (откуда, когда и кто)

так что нужно вовремя обновления ставить на windows

В каком месте можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

И если фаер был отключен при установке osce, как его можно безболезненно доставить?

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
ну допустим мой косяк, не поставили вовремя обновления (всуса нет, и инета у обычных пользователей нет). задача вычистить - а не получается

Автозапуск на всех дисках отключили? Службу Планировщик заданий отключили? (Следует проверить задания там; job1, job2)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Нашел лицензии, поставил, включил Enable Web Reputation policy.

В каком месте можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

И если фаер был отключен при установке osce, как его можно безболезненно доставить?

Client Firewall ставится всегда. В разделе управления лицензиями есть галочка, которая его запускает.

согласен, проблемы на 100% аналогичные. а теперь еще и с конфикером боремся. тренда все сканирует, находит, удаляет, а при запуске каспер кидо киллер - опять 25

Может быть это поможет

DOWNAD_CONFICKER_032709.pdf

DOWNAD_CONFICKER_032709.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Client Firewall ставится всегда. В разделе управления лицензиями есть галочка, которая его запускает.

Включен

И всё-таки, где можно посмотреть детект фаера? В логах в поле "Infection Source" данных нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Logs\Network computer logs\Security Risks\

Выбираем нужный домен - View Logs\Firewall Logs\

В окошке выбираем период и жмём кнопку Notfy Clients а затем Display Logs

и смотрим кто является источником проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Logs\Network computer logs\Security Risks\

Выбираем нужный домен - View Logs\Firewall Logs\

В окошке выбираем период и жмём кнопку Notfy Clients а затем Display Logs

и смотрим кто является источником проблем

Я так пробовал делать, всегда выдаёт пустую таблицу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Networked Computers\Firewall\Profiles

Проверьте All clients profile (или другой профиль) активированы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh
Networked Computers\Firewall\Profiles

Проверьте All clients profile (или другой профиль) активированы?

напротив All clients profile enabled, только внутри ничего не настроено кроме Policy: All acces policy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Развожу руками.... При тех же настройках всё работает..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh

Фаер заработал, всё показывает, вот только в View - Virus/Malware Logs - в таблице Infection Source пустое значение, как сделать, чтобы он показывал источник?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Если фаер заработал - источник нужно искать анализируя его данные.

OfficeScan детектирует conficker как: Net virus -- MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

если в поле "Direction" написано Receive - то смотри поле "Remote Host" там указан ip компа который распространяет conficker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh

Да это всё понятно, просто не понятно почему всё-таки нет данных по Infection Source в Virus/Malware Logs

Отредактировал AlexCh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×