Перейти к содержанию
AndrewASB

SEP, SAV9 и полиморфики (Virut&другие)

Recommended Posts

AndrewASB

Столкнулся с большой проблемой при защите от вирусов типа W32.Virut.CF.

Главная причина возникновения проблемы: Имеется большое число устаревших компьютеров, на которые SEP не устанавливается. Имеются серверы Novell v.4-5 на которые SEP не установишь. В некоторых подразделениях компьютеров под установку SEP вообще нет.

Актуальность: Будет актуальна 2-3 года, так как обновить одномоментно компьютерный парк не получится.

В чем, собственно говоря заключается проблема? Проблема заключается в том, что SAV 9 не обнаруживает всех файлов зараженных Vitrut. Соответственно, лечение полное невозможно. При этом клиенты постоянно приносят в организацию зараженные носители информации. Полностью запретить использование CD и флешек тоже невозможно. Организация имеет региональную структуру и кое где отвратительные линии связи.

Каким образом защитить от Virut и т.п. вирусов компьютеры с SAV9? Что посоветуете? С административными мерами - тут все понятно. Но они не всегда могут быть применимы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Не факт, что установка SEP исправит ситуацию.

Вот статья, в которой подробно описана угроза и что с ней делать.

На вашем SAV 9 установлены последние вирусные базы?

Вот этот removal tool пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AndrewASB
Не факт, что установка SEP исправит ситуацию.

Вот статья, в которой подробно описана угроза и что с ней делать.

На вашем SAV 9 установлены последние вирусные базы?

Вот этот removal tool пробовали?

Спасибо, Павел!

Но! Все, что описано в встатье как "best practices" делалось с самого начала. При сканировании в безопасном режиме вирусы пропускались, как SAV9, так и сторонними утилитами. Однако при загрузке в нормальном режиме вирусы всегда появлялись повторно (начальный источник вирусов был уже удален - см. ниже). Причем, на одна из модификаций вируса 2 или 3 дня не детектировалась ничем, SEP в том числе. Просто, проанализировав ситуацию, мы поняли, что заражение шло через файлы, ответственные за запуск клиента одного из сетевых приложений. Естественно мы их отослали в Symantec и оказалось, что вирус там есть и прехитрые.

Теперь про FixVirut. Это было первое, что мы попробовали. "Наш вирус" он не берет? вернее не все. Однако с вирусом отлично справляется Norton Security Scan с обновляемыми базами, ну и SEP теперь. Собственно говоря я еще носил образцы файлов, в которых вирус никто не детектировал, местному вендору и он на каком то девелоперском ПО с супер-пупер маниакальной эвристикой получил ответ "Скорее всего вирус, требуется анализ".

В общем то с "вылечить" вроде все нормально. Однако чрезмерно велик риск подхватить какую нибудь еще модификацию вируса с флешки или дискеты клиентов там, где можно использовать только SAV9.

Ну, хорошо - поставим хотя бы по 1 SEPу там, где клиентские носители. А другие компьютеры? А если использование всяких носителей необходимо? Ну, принесут, ну, накажем больно. А на сколько компов вирус попадет до того, как SAV9 почешется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Ну, хорошо - поставим хотя бы по 1 SEPу там, где клиентские носители. А другие компьютеры? А если использование всяких носителей необходимо? Ну, принесут, ну, накажем больно. А на сколько компов вирус попадет до того, как SAV9 почешется?

Спасибо за информацию, теперь понятен масштаб вашей проблемы.

W32.Virut.CF - чрезвычайно непростой вирус, от которого использованием обычного

антивируса или removal tool не избавиться. В любом случае, даже полное форматирование и переустановка ОС не всегда помогает.

В основном Virut заражает .exe и .scr файлы, включая файлы в архивах zip/rar/cab при попытке

открыть эти файлы или получить к ним доступ.

Чтобы иметь возможность вовремя обнаруживать вирус на уязвимой системе (например,

где установлен SAV 9 и Virut не обнаруживается), вам помогли бы более мощные средства -

например, решение для мониторинга доступа к файлам и ключам реестра, контроль

конфигурации системы.

Если полностью устранить угрозу не получится, то по крайней мере вы будете знать о

том, какие из ваших систем уязвимы.

У Symantec имеются отдельные решения, которые подойдут в вашем случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexkirilov2018
      Добро пожаловать на сайт! Портал новостей «Листай.ру» создан с целью отражения общественной новостной повестки в России и мире. У нас на сайте любой пользователь может ознакомиться со свежей и актуальной информацией по большинству значимых общественных тем в стране. Среди таких тем: Политика, экономика, пенсионные вопросы, ЖКХ, деньги, вопросы изменений в действующее законодательство РФ, дачные темы, спорт, техника и многое другое.
    • alexkirilov2018
      Наказывать нужно за расклейку таких вот украшений!
    • Gannadey
      Мы когда переехали в этот поселок, то тоже, само собой задавались этим вопросом. Так как работа у меня связана с интернетом, то мне бы хотелось, помимо дешевых тарифов и хорошего интернета, ещё и быстрое подключение. Полазил по сайтам провайдеров и фразочки типа " подключение в течении 3-4х дней" меня никак не устраивали. Но нашёл здесь https://it-yota.ru/uslugi/internet-mosoblast/dmitrovskij-rajon/poselok-nekrasovskij.html , что подключают в тот же день, глянул и на тарифы, условия и всё меня устроило. Подключили и вправду в тот же день, всё работает отлично. Сбоев и обрывов сети не было. 
    • Elisea
      Приветствую! Есть кто из Подмосковья? Переехали в поселок Некрасовский совсем недавно, под Дмитровым. Нужно подключить интернет. Какой провайдер получше будет?
    • fafa
      Очень странно, как по мне. Так как этот товар не подходит для такого вариант продвижения. Как мне казалось то лучше использовать прямую рекламу не думали? Тем более что товар не такой дешевый и рассчитан немного на другую аудиторию. 
×