8 ответов в этой теме

[Jumbo Frame]

Предыстория:

 

для доступа по VPN к сети клиента используется ActiveX -модуль, подгружаемый при заходе на страницу авторизации со стороны клиента (открывается в IE).

При загрузке модуля один из его компонентов, ISWMGR.exe, блокируется как DPH:Trojan.Inject.1

 

При этом:

 

а) из карантина файл достать нельзя, только удалить;

б) отключение эвристики, занесение в исключения Guard имени процесса, имени файла и его каталога на ситуацию не влияют;

в) ручная проверка файла показывает, что он чист.

 

В Event Log имеем следующее:

disinfect object: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe - quarantined, reboot required [threat name: DPH:Trojan.Inject.1, action: 3, type: 0, ret: 1000008]

Preventive protection event: Inject to protected/system process

id: 4983, type: PsInject (43), flags: 1 (wait: 1), cid: 6504/2912:\Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume2\Windows\explorer.exe:6260
  signer: C=IL|ST=Ramat-Gan|L=Ramat-Gan|O=Check Point Software Technologies Ltd.|OU=Digital ID Class 3 - Microsoft Software Validation v2|CN=Check Point Software Technologies Ltd., timestamp: 17.11.2016 14:31:47.0000, thumbprint: e615143063feb3a77c1580b84810145dd1c7db2e
  hash: 002025f04bf3408e019c5caac2ca3693922266f0 status: signed, pe64, new_pe (0xa00200) / signed / unknown
threat: DPH:Trojan.Inject.1 ==> send user blocked alert
path: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> denied access to file
process: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe:6504 ==> suspended all threads in process
path: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe:6504 ==> terminated
disinfect: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> quarantined, reboot required [1000008]
threat: DPH:Trojan.Inject.1 ==> sended user virus found alert
id: 4983 ==> denied [5], time: 12305.207676 ms

Проблема решается только отключением Guard и/или превентивки (т.к. вопрос весьма срочный - отключал сразу оба).

 

Клиент важный, просить его что-то подкрутить у себя или дать другой способ доступа по VPN - не представляется возможным.

 

Что можно подкрутить со стороны ESS?

 

Логи приаттачены, момент запуска модуля - около 17.03.

Прикрепленные файлы:

•  Logs.zip   1,56Мб   0 Скачано раз

Сообщение было изменено Jumbo Frame: 29 Декабрь 2016 - 19:40

[v.martyanov]

С DPH - в техподдержку...

[Konstantin Yudin]

Оперативно решается созданием правила в превентивной защите для этого процесса, пункт защита целостности запущенных приложений перевести в разрешить.

[Konstantin Yudin]

Путь конечно у процесса ещё тот, это я так понимаю переопределенный темп.

[Jumbo Frame]

Ради спортивного интереса - а чем плох "короткий" C:\Temp вместо "длинного" %localappdata%\temp?

И можно ли прописать путь как %temp%\SWS\FFSW\ISWMGR.exe?

 

Ещё со времён ХР привык длинный путь менять на короткий из-за того, что некоторый софт не очень хорошо с длинным путём работал...

[Konstantin Yudin]

ничем не плох. плохо то что бинарь в темпе лежит, темп в здравом уме никто не будет исключать. правила превентивной защиты поддерживают только полный путь к файлу, без переменных окружения и wildcard-ов.

[N1ke]

Ради спортивного интереса - а чем плох "короткий" C:\Temp вместо "длинного" %localappdata%\temp?

И можно ли прописать путь как %temp%\SWS\FFSW\ISWMGR.exe?

Тем, что в "длинный" темп по умолчанию может получить доступ только администратор машины, система и хозяин аккаунта, а в "короткий" - кто угодно, кто может на эту машину залогиниться.

[Jumbo Frame]

В общем, пришлось делать отдельную группу, которой разрешать манипуляции с целостностью запущенных приложений.

Одним этим экзешником дело не ограничивается, там их масса и все лезут куда не попадя.

Что высылать в техподдержку? Описание, логи и проблемный клиент? 

[Konstantin Yudin]

с этим ISWMGR.exe не все чисто. его метаданные у нас в подозрительных/не доверенных. но все разборки уже после праздников.