Ложное срабатывание на ПАРУС - Symantec - комплексная информационная безопасность - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

katbert

SAV 10.1.8.8000 обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Как можно оперативно устранить ложное срабатывание?

Event Type: Error

Event Source: Symantec AntiVirus

Event Category: None

Event ID: 5

Date: 16.10.2009

Time: 12:24:25

User: N/A

Computer: WS270

Description:

Обнаружена угроза!Угроза:Trojan Horse в файле: C:\Program Files\Common Files\Parus Shared\KeyLogger.dll. Тип осмотра: Автоматическая защита. Действие: Удалить выполнено : Доступ запрещен. Описание действия: Файл удален успешно.

Файл конечно подозрительный - многие эвристики на него недобро глядят

http://www.virustotal.com/ru/analisis/7403...4c98-1255689608

KeyLogger.zip

KeyLogger.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Скажите, пожалуйста, в техподдержку обращение было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Было - но у меня на руках не было номера контракта, сейчас выясняю

Без контракта - помочь не могут :(

Пока сделал так - с консоли System center в Параметрах автоматической защиты клиента - Исключения - Папки

Добавил путь, где лежит проблемная DLL

C:\Program Files\Common Files\Parus Shared

Вопрос - как часто клиенты обращаются к серверу за новой конфигурацией, и можно ли ускорить этот процесс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Естественно поведенческий анализ будет давать такой результат только в том случае, если эта "Библиотека мониторинга клавиатуры" является 100%-м кейлоггером. Разработчики сами признают её таковой.

Российские антивирусы её не детектят по той простой причине, что она уже давно была добавлена в их базу как легитимный кейлоггер или легитимный шпион.

Техподдержка тут вам не поможет. Единственно правильное решение вы уже приняли - добавили в исключения сканирования и мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

А что мешает Symantec добавить эту dll в свой белый список?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А что мешает Symantec добавить эту dll в свой белый список?
Symantec 1.4.4.12 2009.10.16 Trojan Horse

Раньше они просто могли не знать о том, что она "белая и пушистая", теперь же, наверняка, узнают.

Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Шутите?

И что же не легетимного в перехвате клавиатуры?

Или теперь надо все игры детектировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что же не легетимного в перехвате клавиатуры?

Это вопрос не ко мне, а к тем кто делает и к тем, кто детектит.

Я также, как и Вы против всех "игр" с перехватом нажатий клавиш.

Чтобы результат был, надо кому-то из вендоров первым пойти друг другу навстречу.

Но в данном случае именно ПАРУСники должны быть первыми заинтересованы в этом или, как я писал выше - должны сами изменить поведение dll до легитимного уровня. Тем более, что продукты Symantec не единственные, кто детектят кейлогера как кейлогера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×