Перейти к содержанию
AndrewASB

SEP, SAV9 и полиморфики (Virut&другие)

Recommended Posts

AndrewASB

Столкнулся с большой проблемой при защите от вирусов типа W32.Virut.CF.

Главная причина возникновения проблемы: Имеется большое число устаревших компьютеров, на которые SEP не устанавливается. Имеются серверы Novell v.4-5 на которые SEP не установишь. В некоторых подразделениях компьютеров под установку SEP вообще нет.

Актуальность: Будет актуальна 2-3 года, так как обновить одномоментно компьютерный парк не получится.

В чем, собственно говоря заключается проблема? Проблема заключается в том, что SAV 9 не обнаруживает всех файлов зараженных Vitrut. Соответственно, лечение полное невозможно. При этом клиенты постоянно приносят в организацию зараженные носители информации. Полностью запретить использование CD и флешек тоже невозможно. Организация имеет региональную структуру и кое где отвратительные линии связи.

Каким образом защитить от Virut и т.п. вирусов компьютеры с SAV9? Что посоветуете? С административными мерами - тут все понятно. Но они не всегда могут быть применимы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Не факт, что установка SEP исправит ситуацию.

Вот статья, в которой подробно описана угроза и что с ней делать.

На вашем SAV 9 установлены последние вирусные базы?

Вот этот removal tool пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AndrewASB
Не факт, что установка SEP исправит ситуацию.

Вот статья, в которой подробно описана угроза и что с ней делать.

На вашем SAV 9 установлены последние вирусные базы?

Вот этот removal tool пробовали?

Спасибо, Павел!

Но! Все, что описано в встатье как "best practices" делалось с самого начала. При сканировании в безопасном режиме вирусы пропускались, как SAV9, так и сторонними утилитами. Однако при загрузке в нормальном режиме вирусы всегда появлялись повторно (начальный источник вирусов был уже удален - см. ниже). Причем, на одна из модификаций вируса 2 или 3 дня не детектировалась ничем, SEP в том числе. Просто, проанализировав ситуацию, мы поняли, что заражение шло через файлы, ответственные за запуск клиента одного из сетевых приложений. Естественно мы их отослали в Symantec и оказалось, что вирус там есть и прехитрые.

Теперь про FixVirut. Это было первое, что мы попробовали. "Наш вирус" он не берет? вернее не все. Однако с вирусом отлично справляется Norton Security Scan с обновляемыми базами, ну и SEP теперь. Собственно говоря я еще носил образцы файлов, в которых вирус никто не детектировал, местному вендору и он на каком то девелоперском ПО с супер-пупер маниакальной эвристикой получил ответ "Скорее всего вирус, требуется анализ".

В общем то с "вылечить" вроде все нормально. Однако чрезмерно велик риск подхватить какую нибудь еще модификацию вируса с флешки или дискеты клиентов там, где можно использовать только SAV9.

Ну, хорошо - поставим хотя бы по 1 SEPу там, где клиентские носители. А другие компьютеры? А если использование всяких носителей необходимо? Ну, принесут, ну, накажем больно. А на сколько компов вирус попадет до того, как SAV9 почешется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Ну, хорошо - поставим хотя бы по 1 SEPу там, где клиентские носители. А другие компьютеры? А если использование всяких носителей необходимо? Ну, принесут, ну, накажем больно. А на сколько компов вирус попадет до того, как SAV9 почешется?

Спасибо за информацию, теперь понятен масштаб вашей проблемы.

W32.Virut.CF - чрезвычайно непростой вирус, от которого использованием обычного

антивируса или removal tool не избавиться. В любом случае, даже полное форматирование и переустановка ОС не всегда помогает.

В основном Virut заражает .exe и .scr файлы, включая файлы в архивах zip/rar/cab при попытке

открыть эти файлы или получить к ним доступ.

Чтобы иметь возможность вовремя обнаруживать вирус на уязвимой системе (например,

где установлен SAV 9 и Virut не обнаруживается), вам помогли бы более мощные средства -

например, решение для мониторинга доступа к файлам и ключам реестра, контроль

конфигурации системы.

Если полностью устранить угрозу не получится, то по крайней мере вы будете знать о

том, какие из ваших систем уязвимы.

У Symantec имеются отдельные решения, которые подойдут в вашем случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
×