Перейти к содержанию

Recommended Posts

katbert

SAV 10.1.8.8000 обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Как можно оперативно устранить ложное срабатывание?

Event Type: Error

Event Source: Symantec AntiVirus

Event Category: None

Event ID: 5

Date: 16.10.2009

Time: 12:24:25

User: N/A

Computer: WS270

Description:

Обнаружена угроза!Угроза:Trojan Horse в файле: C:\Program Files\Common Files\Parus Shared\KeyLogger.dll. Тип осмотра: Автоматическая защита. Действие: Удалить выполнено : Доступ запрещен. Описание действия: Файл удален успешно.

Файл конечно подозрительный - многие эвристики на него недобро глядят

http://www.virustotal.com/ru/analisis/7403...4c98-1255689608

KeyLogger.zip

KeyLogger.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Скажите, пожалуйста, в техподдержку обращение было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Было - но у меня на руках не было номера контракта, сейчас выясняю

Без контракта - помочь не могут :(

Пока сделал так - с консоли System center в Параметрах автоматической защиты клиента - Исключения - Папки

Добавил путь, где лежит проблемная DLL

C:\Program Files\Common Files\Parus Shared

Вопрос - как часто клиенты обращаются к серверу за новой конфигурацией, и можно ли ускорить этот процесс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
обнаруживает угрозу в DLL-ке от бухгалтерской программы ПАРУС

Естественно поведенческий анализ будет давать такой результат только в том случае, если эта "Библиотека мониторинга клавиатуры" является 100%-м кейлоггером. Разработчики сами признают её таковой.

Российские антивирусы её не детектят по той простой причине, что она уже давно была добавлена в их базу как легитимный кейлоггер или легитимный шпион.

Техподдержка тут вам не поможет. Единственно правильное решение вы уже приняли - добавили в исключения сканирования и мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

А что мешает Symantec добавить эту dll в свой белый список?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А что мешает Symantec добавить эту dll в свой белый список?
Symantec 1.4.4.12 2009.10.16 Trojan Horse

Раньше они просто могли не знать о том, что она "белая и пушистая", теперь же, наверняка, узнают.

Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Хотя чтобы другие програмы защиты перестали её детектить, разработчики Паруса должны сами изменить её поведение до легитимного уровня.

Шутите?

И что же не легетимного в перехвате клавиатуры?

Или теперь надо все игры детектировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что же не легетимного в перехвате клавиатуры?

Это вопрос не ко мне, а к тем кто делает и к тем, кто детектит.

Я также, как и Вы против всех "игр" с перехватом нажатий клавиш.

Чтобы результат был, надо кому-то из вендоров первым пойти друг другу навстречу.

Но в данном случае именно ПАРУСники должны быть первыми заинтересованы в этом или, как я писал выше - должны сами изменить поведение dll до легитимного уровня. Тем более, что продукты Symantec не единственные, кто детектят кейлогера как кейлогера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Это можно. Хотя можно ведь просто нажать Enter.
    • PR55.RP55
      Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.  
    • demkd
      тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
    • PR55.RP55
      Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms   там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню:  Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
    • demkd
      Пока готовится новое обновление, можно ознакомиться с будущей функцией интеграции uVS в меню дополнительных параметров загрузки Windows, аналогичная функция реализована в моем новом проекте dclone для клонирования дисков с максимально возможной скоростью.
      Интеграция позволяет встроить программу в среду восстановления Windows (которая по умолчанию есть в любой установленной версии Win8-Win11) и работать с неактивной системой из не зараженной среды, во всяком случае пока случаев заражения образа WinRE я лично не наблюдал.
      Т.е. для работы с неактивной системой больше не нужны загрузочные диски.
×