Перейти к содержанию

Recommended Posts

katbert

SAV 10.1.8.8000 обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Как можно оперативно устранить ложное срабатывание?

Event Type: Error

Event Source: Symantec AntiVirus

Event Category: None

Event ID: 5

Date: 16.10.2009

Time: 12:24:25

User: N/A

Computer: WS270

Description:

Обнаружена угроза!Угроза:Trojan Horse в файле: C:\Program Files\Common Files\Parus Shared\KeyLogger.dll. Тип осмотра: Автоматическая защита. Действие: Удалить выполнено : Доступ запрещен. Описание действия: Файл удален успешно.

Файл конечно подозрительный - многие эвристики на него недобро глядят

http://www.virustotal.com/ru/analisis/7403...4c98-1255689608

KeyLogger.zip

KeyLogger.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Скажите, пожалуйста, в техподдержку обращение было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Было - но у меня на руках не было номера контракта, сейчас выясняю

Без контракта - помочь не могут :(

Пока сделал так - с консоли System center в Параметрах автоматической защиты клиента - Исключения - Папки

Добавил путь, где лежит проблемная DLL

C:\Program Files\Common Files\Parus Shared

Вопрос - как часто клиенты обращаются к серверу за новой конфигурацией, и можно ли ускорить этот процесс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Естественно поведенческий анализ будет давать такой результат только в том случае, если эта "Библиотека мониторинга клавиатуры" является 100%-м кейлоггером. Разработчики сами признают её таковой.

Российские антивирусы её не детектят по той простой причине, что она уже давно была добавлена в их базу как легитимный кейлоггер или легитимный шпион.

Техподдержка тут вам не поможет. Единственно правильное решение вы уже приняли - добавили в исключения сканирования и мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

А что мешает Symantec добавить эту dll в свой белый список?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А что мешает Symantec добавить эту dll в свой белый список?
Symantec 1.4.4.12 2009.10.16 Trojan Horse

Раньше они просто могли не знать о том, что она "белая и пушистая", теперь же, наверняка, узнают.

Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Шутите?

И что же не легетимного в перехвате клавиатуры?

Или теперь надо все игры детектировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что же не легетимного в перехвате клавиатуры?

Это вопрос не ко мне, а к тем кто делает и к тем, кто детектит.

Я также, как и Вы против всех "игр" с перехватом нажатий клавиш.

Чтобы результат был, надо кому-то из вендоров первым пойти друг другу навстречу.

Но в данном случае именно ПАРУСники должны быть первыми заинтересованы в этом или, как я писал выше - должны сами изменить поведение dll до легитимного уровня. Тем более, что продукты Symantec не единственные, кто детектят кейлогера как кейлогера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      вообще то это была шутка
        А этого не будет, я уже это сказал ранее.
    • PR55.RP55
      " что бы образ создавался еще дольше " Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl Для процессов с корреляцией  wdsl  - замер производить однократно. Для процессов вне корреляции  wdsl производить серию замеров и выводить средний % для процесса. У всякого процесса может быть некий скачок... А усреднённый показатель будет более информативен. Или же производить серию замеров только для  GPU ------------ Да и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно, что позволит предотвратить накладки. Время затраченное на проверку ЭЦП компенсируется минимальным перечнем выгружаемых объектов. ЭЦП опять же проверяется выборочно - только для тех объектов которые uVS  предварительно назначил к выгрузке.
    • demkd
      оно и так в меню есть
        что бы образ создавался еще дольше? xD
      я подумаю
    • Лукин Вадим
      После строительства дома накопилось много мусора, который занимал место. Мусорка на районе у нас только для бытовых отходов, поэтому решал вопрос, куда его деть. Пока решал где взять машину и куда его вывезти, жена нашла в интернете компанию https://musor-kill.ru/ Они приехали в тот же день и все забрали. Вот так, женщины в некоторых вопросах компетентнее нас будут)
    • Лукин Вадим
      Нравится, когда кто-то привозит из другой страны магнитик. Но в этот момент хочется самому рвануть куда-то)
×