6 ответов в этой теме

[Thorvardr]

Хотел уточнить пару моментов.

В последнее время по почте часто присылают всевозможные "заманушки" в виде писем с вложениями, озаглавленными наподобие "вот новая версия договора" или "вот счет, о котором мы договаривались" и т.п. При этом DrWeb ES, который стоит в конторе, их считает безопасными. Да и не только он, проверка на virustotal, как правило, тоже показывает совсем небольшой процент выявления. Но содержимое письма - то scr файл, то js, обычно в архиве, иногда пару раз запакован, иногда с паролем, который жулики пишут в письме.

Каждый раз я беру файл и отправляю его на разбор и каждый раз получаю в итоге подобное письмо:

> Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

> Угроза: JS.DownLoader.1655

(описание угрозы как пример по сегодняшней ситуации, понятно, что формулировка не всегда именно такая)

И было так уже раз 10. Делаю я поиск и вижу, что, например, "Угроза: JS.DownLoader.1655" = нечто, зарегистрированное аж в 2012 году. Тогда непонятно отчего антивирус его не идентифицировал, но, скорее всего, это название семейства угроз и конкретно сегодняшняя - одна из модификаций. А в конце дня вредоносное программное обеспечение уже, в самом деле, нормально перехватывается антивирусом.

Но вообще, в принципе, каждый раз получаю ответ "такая угроза уже известна" и информацию о каком то давно зареганном типе вируса.

Потому вопросы:

1. Верно ли я понимаю, что описание типа "JS.DownLoader.1655" касается семейства вирусов, а не конкретного единичного вируса и антивирус все таки работает и не "прозевал" вирус 2012 года?

2. Есть ли смысл высылать файлы на разбор если каждый раз "угроза известна нашим специалистам"?

3. В составе Guard-а есть опция "эвристический анализ", который, теоретически, по поведению может предположить, что js скрипт, качающий файл с вторым скриптом (иногда еще и криптованные фрагментами) и пытающийся его запустить, это не совсем нормально, но не предотвращает такое действие. Насколько такая ситуация в работе стандартного софта возникает часто, что антивирус не может однозначно классифицировать эти движения как опасную активность?

[Petrovic]

в винде можно просто отключить выполнение скриптов и будет счастье

[RomaNNN]

1. Да, расширение сигнатур является нормальной практикой.

2. Смысл всегда есть. Видимо, кто-то послал этот файл раньше, вот и робот сообщил, что уже запись есть. Доп. нагрузку повторная отправка почти не создает, ибо все равно дубли найдет робот и ответит сам, а вот если файл вообще не поступит в вирлаб ни разу, тогда будет плохо.

3. Эвристический анализ Guard-a не поможет. Это фича на статический детект. Практика показывает, что перед тем, как распространять вирусы, авторы сих поделий тоже проверяют их на приватных сервисах типа VT, и если будет детект, они его собьют. Другое дело - превентивная защита. Она призвана защитить от шифровальщиков (коими являются эти файлы во вложении). Но опять же, не панацея, 100% никто не даст. А вот 99,8% могут  дать грамотные бекапы важных данных.

[Thorvardr]

в винде можно просто отключить выполнение скриптов и будет счастье

Совсем выключить не представляется возможным, в конторе есть ночные задачи, которые когда то скриптами писали.

 

...Но опять же, не панацея, 100% никто не даст. А вот 99,8% могут  дать грамотные бекапы важных данных.

Да, стараемся, на параноидальном уровне некоторые данные бэкапятся тоже ночными задачами, сразу в два удаленных места с хранением 3 прошлых версий.

[Alex59]

а кто-то может подсказать что-либо об угрозе  Android.Mobifun.4?

[SergSG]

Может гуголь?

[maxic]

Не вижу связи с темой топика. Закрыто.