Перейти к содержанию

Recommended Posts

katbert

SAV 10.1.8.8000 обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Как можно оперативно устранить ложное срабатывание?

Event Type: Error

Event Source: Symantec AntiVirus

Event Category: None

Event ID: 5

Date: 16.10.2009

Time: 12:24:25

User: N/A

Computer: WS270

Description:

Обнаружена угроза!Угроза:Trojan Horse в файле: C:\Program Files\Common Files\Parus Shared\KeyLogger.dll. Тип осмотра: Автоматическая защита. Действие: Удалить выполнено : Доступ запрещен. Описание действия: Файл удален успешно.

Файл конечно подозрительный - многие эвристики на него недобро глядят

http://www.virustotal.com/ru/analisis/7403...4c98-1255689608

KeyLogger.zip

KeyLogger.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Скажите, пожалуйста, в техподдержку обращение было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Было - но у меня на руках не было номера контракта, сейчас выясняю

Без контракта - помочь не могут :(

Пока сделал так - с консоли System center в Параметрах автоматической защиты клиента - Исключения - Папки

Добавил путь, где лежит проблемная DLL

C:\Program Files\Common Files\Parus Shared

Вопрос - как часто клиенты обращаются к серверу за новой конфигурацией, и можно ли ускорить этот процесс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Естественно поведенческий анализ будет давать такой результат только в том случае, если эта "Библиотека мониторинга клавиатуры" является 100%-м кейлоггером. Разработчики сами признают её таковой.

Российские антивирусы её не детектят по той простой причине, что она уже давно была добавлена в их базу как легитимный кейлоггер или легитимный шпион.

Техподдержка тут вам не поможет. Единственно правильное решение вы уже приняли - добавили в исключения сканирования и мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

А что мешает Symantec добавить эту dll в свой белый список?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А что мешает Symantec добавить эту dll в свой белый список?
Symantec 1.4.4.12 2009.10.16 Trojan Horse

Раньше они просто могли не знать о том, что она "белая и пушистая", теперь же, наверняка, узнают.

Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Шутите?

И что же не легетимного в перехвате клавиатуры?

Или теперь надо все игры детектировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что же не легетимного в перехвате клавиатуры?

Это вопрос не ко мне, а к тем кто делает и к тем, кто детектит.

Я также, как и Вы против всех "игр" с перехватом нажатий клавиш.

Чтобы результат был, надо кому-то из вендоров первым пойти друг другу навстречу.

Но в данном случае именно ПАРУСники должны быть первыми заинтересованы в этом или, как я писал выше - должны сами изменить поведение dll до легитимного уровня. Тем более, что продукты Symantec не единственные, кто детектят кейлогера как кейлогера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • clocot
      Сколько ни будет сейчас денег в кармане, всегда будет мало. Вот у меня есть работа и на зарплату сильно я не жалуюсь. Но  всегда хочется больше, поэтому я начал подрабатывать. Много  времени у меня  свободного  нет, так  что  решил подработать на форексе вот, например.  Все  просто, и доходы есть 
    • Happy
      Всем привет, если увлекаетесь туризмом, то могу вам посоветовать https://express-novosti.ru/interesting/travel/ вот этот блог о путешествиях. На нем найдете много интересных статей и рейтинги разных популярных курортов.
    • PR55.RP55
      F6            - Проверка цифр. подписей файлов в списке. А если нужно проверить не всё, а например только драйверы ? т.е. оператору нужно проверить одну категорию, а по факту проверяется весь список = потеря темпа\времени. Предлагаю добавить в меню команду: "Проверить ЭЦП файлов только в этой категории "
    • PR55.RP55
    • PR55.RP55
      С выходом новой версии Хрома появились записи типа. Полное имя                  79.0.3945.130
      Имя файла                   79.0.3945.130
      Тек. статус                 в автозапуске Chrome/Yandex
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске Chrome/Yandex
                                  
      Доп. информация             на момент обновления списка
      Стартовая страница          Chrome Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070
                                  
×