xck

Symantec Endpoint Protection

В этой теме 13 сообщений

Сам таких фактов (у себя) не замечал, но многие пользователи жалуются на то что при обмене информацией с другими пользователми вне офиса, или после того как принесут флешку домой антивирусы начинают ругаться на обнаружение вирусов. За последнее время (примерно две недели) было около 7 - 8 обращений от разных людей.

В чем может быть проблема? Может необходимо настроить как то дополнительно скан флешек в настройках SEPM?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

xck можно поподробнее? Кто находит вирусы? Как он пределяется? Как называется вирусный файл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

советую заблокировать правилами Applications&Device Control доступ к autorun.inf - этим вы обезопаситесь по крайней мере. Оставьте, к примеру, доступ только для процессов SEP и far manager. На флешках смотрите этот файл, на какой исполняемый файл ссылается. Если SEP не определяет вирус в исполняемом этом файле - попробуйте через http://www.virustotal.com/ru/

Если онлайн сервисом будет срабатывать на вирус - отсылайте вирус через https://submit.symantec.com/websubmit/gold.cgi

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня очень часто пользователи жалуются на то что не могут зайти на flash-ку. В результате обнаруживается что SEP удаляет вирус. Но последствия вируса где то сидят в реестре. Т.е. вирус запоминат серийный номер тома флэшки. ПК проверен на вирусы и чист. Как только они её вставляют и пытаются зайти через "Мой компьютер" то флэшка ругается на отсутсвующий файл вируса (который грохнул SEP). Причём автозагрузка с любых носителей убрана. И файлов autorun и тому подобных на флэшке нет. Решение только одно - переносим с флэшечки всё своё добро во временную папочку на жёсткий диск. Форматируем флэшку - меняется серийный номер тома. И переносим инфу с временной папочки обратно на флэшку. Всё - больше проблем не будет. (До следующего вредоноса подобного типа :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня запрещен автозапуск в любых носителей, по поводу autorun.inf у меня давно (уже более чем три месяца) уже блокирован этот файл (по этому поводу даже была тема здесь на форуме, спасибо Киррилу за пример правила Applications and Device Control ), так же запрещен запуск исполняемых файлов, таких файлов как msi, js, vbs, bat, cmd и т.п. в будущем планирую в организации реализовать целую классификацию по доступу с съемным устройствам и носителям...

Так же спасибо, учту вопросы в будущем попрошу пользователей отмечать - "Кто находит вирусы? Как он пределяется? Как называется вирусный файл?"

В следующий раз при поступления информации выложу сюда.

По поводу того, что сохраняются записи "где то" в реестре, может комп прогнать утилитами вроде avz?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сорри за отступление от темы, но поскольку началось - не могу не ответить

Т.е. вирус запоминат серийный номер тома флэшки. ПК проверен на вирусы и чист. Как только они её вставляют и пытаются зайти через "Мой компьютер" то флэшка ругается на отсутсвующий файл вируса (который грохнул SEP). Причём автозагрузка с любых носителей убрана. И файлов autorun и тому подобных на флэшке нет. Решение только одно - переносим с флэшечки всё своё добро во временную папочку на жёсткий диск. Форматируем флэшку - меняется серийный номер тома. И переносим инфу с временной папочки обратно на флэшку. Всё - больше проблем не будет. (До следующего вредоноса подобного типа :) )

Что то из области фантастики.

Я не знаю ни одного мало мальски известного серьезного вируса который каким либо образом привязывался к номеру тома. Ибо это безсмысленно с точки создания вируса.

Если на флешке появился autorun.inf - это в 99.9% означает наличие вируса. Где он - смотрим содержимое файла.

Если эксплорер начинает ругаться на отсутствие файла - что мешает пройтись по реестру и найти хвост? Скорее всего, он не в лоадпойнтах а записан к расширению или в строке запуска оболочки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После удаления файлов типа autorun.* (не только inf!!!), которые ссылаются на зловреды, и после полного лечения следует удалить ВСЕ ключи MountPoints2, которые находятся в реестре (это кэш всех USB-устройств, и там могут сохраняться определённые 'вредные' значения). После перезагрузки Windows эти ключи заново создаются со значениями по умолчанию.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Легче форматнуть :) чем шарахаться по реестру и искать. Да и пользователям своим ты будешь рассказывать как редактировать реестр???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Легче форматнуть :) чем шарахаться по реестру и искать. Да и пользователям своим ты будешь рассказывать как редактировать реестр???

По-моему xck и Shell профессиональные админы. Справятся. ;)

P.S.: Это всего задать поиск MountPoints2. Как только нашёл, выделить это название и Удалить. Потом F3 дальше искать. Их там 2 или 3 таких. Перезагрузить систему, и всё. Дело 3-х минут.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На работе пользователям :)))))))

P.S.: Это всего задать поиск MountPoints2. Как только нашёл, выделить это название и Удалить. Потом F3 дальше искать. Их там 2 или 3 таких. Перезагрузить систему, и всё. Дело 3-х минут.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На работе пользователям :)))))))

Это по-любому работа исключительно для админа. Конец офф-топа.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак есть первый объект.

Ситуация

Пользователь принес компьютер (на нем установлен SEP MR4, с установленными свежими базами), этот компьютер использовался пользователем дома в течении полугода.

При подключении съемного устройства (флешки) к этому компьютеру антивирус нашел на ней несколько тел фирусов, я был твердо уверен что моя флешка не инфицированна, отключив и подключив это устройство к своему компьютеру увидел исполняемые файлы имеющие такие же имена как каталоги на этом устройстве и значек в виде папки. Отформатироваф флешку я снова вставил ее в принесенный компьютер, антивирус снова стал ругаться. Отключив ее и подкоючив к своему увидел что на флешке присутсвуют несколько безымянных исполняемых файлов, со значками в виде папок и исполняемый файл recycler.exe. Просканиров флешку своим антивирусом (SEP MR4), мой антивирус ничего не нашел.

Отправил файл на http://www.virustotal.com после проверки в списке антивирусов напротив Symantec стоит прочерк.

Результаты проверки

Вывод

Вирус сидит на принесенном компьютере, при копировании "себя" "палится" тем что создает файлы на съемном устройстве и SEP начинает ругаться. Мой антивирус ничего подозрительного не находит (возможно не может его определить).

Вопрос

Это проблема антивируса или какие то настройки необходимо дополнительно произвести?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

xck, из отчета на virustotal видно что вирус не определяется. Экстраординарного ничего не вижу. Вирус в определении абсолютно не сложный http://www.threatexpert.com/threats/trojan...32-flystud.html

Выцепите его тело и отправьте в Symantec Security Response https://submit.symantec.com/websubmit/gold.cgi

Через день-два-три максимум он после этого будет определяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • b!atnoy
      Тестирование на проникновение с помощью Kali Linux 2.0 не плохая книга, почитайте.
    • amid525
      Тут я сомневаюсь.. И ранее, когда угроз было более, не особо брали. А сейчас, с нынешним уровнем бесплатных антивирусов, да и достаточной встроенной защитой, необходимость в платных, думаю скоро сойдет на нет.. )
    • PR55.RP55
      Факт. 1) Когда вышла крайняя версия утилиты: Tdsskiller ? Ответ: Апрель 2017 т.е.  новых rootkit - тов не было... скоро, как год уже не было новых... 2) За год резко снизилось число ADWARE агентов. 3) Снизилось число заражений шифраторами. 4) Число заражений файловыми вирусами. 5) Блокировщики экрана превратились в анахронизм - в живых динозавров. Почему это происходит ? а) Были приняты меры, как разработчиками программ так и пользователями. Появились более защищённые браузеры, эффективные Free Antivirus - ы, повысился уровеньосведомлённости пользователей PC ( сейчас даже бабушки знают, что нужно проверять файл hosts ) Как результат - модификация ( злонамеренная ) файла hosts практически прекратилась. ADWARE - файлы часто подписывают Электронно цифровой подписью ( ЭЦП  ) - и платили ( платят )  за это деньги... Как результат: Овчинка перестала стоить выделки. ( дебет не сходиться с кредитом ) Число левых ЭЦП резко сократилось... б) Крупные компании практически перестали досаждать пользователям такими продуктами как:  Guard mail.ru;  Яндекс praetorian и т.д. так, как рынок уже поделили... с) Сменилась прицельна точка с Windows на Android  системы. д) Также по всей видимости произошла переориентация у плохих дядей. На данный момент  появились возможности заработать относительно легальным путём - те же .js майнеры на сайтах... Резко возросло число преступлений - со стороны мошенников соответственно это привело к снижению активности на иных направлениях. Кроме того технический прогресс не стоит на месте. Раньше мы постоянно использовали CD\DVD - USB диски. сейчас же благодаря появлению облачных хранилищ, доступности интернета, скорости передачи данных... Обмен дисками снизился на несколько порядков. Как результат практически исчезли Autorun вирусы и резко снизилось число файловых заражений. Изменилось отношение пользователей к безопасности - отношение стало более ответственным. так, как нормальная работа PC и сохранение информации напрямую стала связана с доходами - работа в интернете, передача данных, отчётов, банковские переводы, регистрации и т.д. Чаще стали покупать лицензии, к антивирусам, а не использовать взломанные версии. Были внедрены многоуровневые системы  проверки данных. К примеру: данные проверяет почтовый сервер и только потом данные передаются пользователю, где они повторно проверяются. Появились онлайн сканеры типа: herdProtect; threatinfo.net; reasoncoresecurity.com У вируса\adware остаётся мало шансов уйти от обнаружения ведь файл анализирует: 60 + антивирусов. Была налажена схема\линия обмена данными между антивирусными компаниями - угрозы быстро обнаруживают и нейтрализуют - что резко снижает время активности вируса\угрозы и снижает доходность. В связи с многочисленными атаками на баки были предприняты доп. меры, как со стороны банков, так и со стороны правоохранительных органов - о чём свидетельствую аресты. Разработка искусственного интеллекта ( его элементов ) - совершенствование механизмов эвристики. Создание общих баз данных по угрозам - определение закономерностей в коде, принципах распространения. Внедрение оплаты компаниями за найденные в их продуктах уязвимости - что также привело к росту стоимости информации на чёрном рынке. Сменились направления атак. Чаще стали атаковать: Китай и Корею. ------------ Но не стоит расслабляться. Произошло переключение на майнинг   вирусы   и по прежнему  свирепствуют шифраторы да и рекламные агенты продолжают нас радовать.
    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525