Ложное срабатывание на ПАРУС - Symantec - комплексная информационная безопасность - Форумы Anti-Malware.ru Перейти к содержанию
katbert

Ложное срабатывание на ПАРУС

Автор katbert, в Symantec - комплексная информационная безопасность

Recommended Posts

katbert    0

katbert
Опубликовано

SAV 10.1.8.8000 обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Как можно оперативно устранить ложное срабатывание?

Event Type: Error

Event Source: Symantec AntiVirus

Event Category: None

Event ID: 5

Date: 16.10.2009

Time: 12:24:25

User: N/A

Computer: WS270

Description:

Обнаружена угроза!Угроза:Trojan Horse в файле: C:\Program Files\Common Files\Parus Shared\KeyLogger.dll. Тип осмотра: Автоматическая защита. Действие: Удалить выполнено : Доступ запрещен. Описание действия: Файл удален успешно.

Файл конечно подозрительный - многие эвристики на него недобро глядят

http://www.virustotal.com/ru/analisis/7403...4c98-1255689608

KeyLogger.zip

KeyLogger.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ANDYBOND    283

ANDYBOND
Опубликовано

Скажите, пожалуйста, в техподдержку обращение было?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

katbert    0

katbert
Опубликовано

Было - но у меня на руках не было номера контракта, сейчас выясняю

Без контракта - помочь не могут :(

Пока сделал так - с консоли System center в Параметрах автоматической защиты клиента - Исключения - Папки

Добавил путь, где лежит проблемная DLL

C:\Program Files\Common Files\Parus Shared

Вопрос - как часто клиенты обращаются к серверу за новой конфигурацией, и можно ли ускорить этот процесс?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Естественно поведенческий анализ будет давать такой результат только в том случае, если эта "Библиотека мониторинга клавиатуры" является 100%-м кейлоггером. Разработчики сами признают её таковой.

Российские антивирусы её не детектят по той простой причине, что она уже давно была добавлена в их базу как легитимный кейлоггер или легитимный шпион.

Техподдержка тут вам не поможет. Единственно правильное решение вы уже приняли - добавили в исключения сканирования и мониторинга.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

katbert    0

katbert
Опубликовано

А что мешает Symantec добавить эту dll в свой белый список?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
А что мешает Symantec добавить эту dll в свой белый список?
Symantec 1.4.4.12 2009.10.16 Trojan Horse

Раньше они просто могли не знать о том, что она "белая и пушистая", теперь же, наверняка, узнают.

Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dan    10

dan
Опубликовано
Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Шутите?

И что же не легетимного в перехвате клавиатуры?

Или теперь надо все игры детектировать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
И что же не легетимного в перехвате клавиатуры?

Это вопрос не ко мне, а к тем кто делает и к тем, кто детектит.

Я также, как и Вы против всех "игр" с перехватом нажатий клавиш.

Чтобы результат был, надо кому-то из вендоров первым пойти друг другу навстречу.

Но в данном случае именно ПАРУСники должны быть первыми заинтересованы в этом или, как я писал выше - должны сами изменить поведение dll до легитимного уровня. Тем более, что продукты Symantec не единственные, кто детектят кейлогера как кейлогера.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Symantec - комплексная информационная безопасность

  • Сообщения

    • Ego Dekker
      Удаление антивирусов ESET

      От Ego Dekker · Опубликовано

      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×