Перейти к содержимому


Фото
- - - - -

Необходимо запустить программу определяемую Вебом как вирус


  • Please log in to reply
11 ответов в этой теме

#1 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 08:12

Доброго всем времени суток,

в сети предприятия функционирует Dr.Web Enterprise Suite v4.44.2, есть рабочая станция общего пользования, к которой имеют доступ много сотрудников, на ней установлен агент. В целях безопасности на ней необходимо установить кейлоггер.

Исполняемый файл кейлоггера (file.exe) и библиотека необходимая для его работы (lib.dll) находятся в папке c:\program files\folder\. Запускается файл стандартно через реестр HKLM\Software\Microsoft\Windows\Current Version\Run.

Для данной станции в конфигурации сканера путь c:\program files\folder\, а также файлы file.exe и lib.dll были внесёны в список исключений. В конфигурации SoiderGuard путь c:\program files\folder\ также был внесён в список исключений.

Если после включения компьютера скопировать в c:\program files\folder\ файлы file.exe и lib.dll и запустить file.exe - всё работает. Но после перезагрузки при входе пользователя в систему эти файлы удаляются, в журнале инфекций для данной станции появляются записи, что эти файлы инфицированы и были удалены.

Скажите пожалуйста, как сделать так, чтобы файлы не удалялись. Спасибо.

#2 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 03 Март 2009 - 08:29

Если вы уверены, что данный файл действительно НЕ ВИРУС, то отошлите его на анализ по ссылке "Прислать вирус" (вверху страницы) в категорию "Ложное срабатывание". Аналити поправят базы и ваш файл не будет дергаться вебом.

#3 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 08:46

Если вы уверены, что данный файл действительно НЕ ВИРУС, то отошлите его на анализ по ссылке "Прислать вирус" (вверху страницы) в категорию "Ложное срабатывание". Аналити поправят базы и ваш файл не будет дергаться вебом.


Насколько мне известно, все кейлоггеры анти-вирусы так или иначе детектят как вирусы\трояны\хактулы и т.д. На многих сайтах производителей кейлоггеров есть детект-листы. И я очень сильно сомневаюсь, что для этого кейлоггера сделают исключение.

Кроме того, хотелось бы получить решение не зависящее от чьей-то воли и в кратчайшие сроки. Наверняка существует способ запускать этот софт при наличии агента. Иначе, для чего существуют исключения в настройках?

#4 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 03 Март 2009 - 09:11

Кейлоггер - не вирус, а потенциально опасная программа, и вам можно просто отлючить детект по данной категории.

#5 niX

niX

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 03 Март 2009 - 10:00

Посмотрите кто и когда удаляет. Есть подоздрение, что это Dr.Web Enterprise Scanner, запускаемый по расписанию при старте системы. Следовательно там исключение и нужно поставить.

#6 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 10:06

Кейлоггер - не вирус, а потенциально опасная программа, и вам можно просто отлючить детект по данной категории.


Тип указан как "Инфицирован"

#7 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 10:12

Посмотрите кто и когда удаляет. Есть подоздрение, что это Dr.Web Enterprise Scanner, запускаемый по расписанию при старте системы. Следовательно там исключение и нужно поставить.


Я тоже думаю что удаляет Dr.Web Enterprise Scanner. Для данной станции в расписании установлен Startup Scan, выполняемый Dr.Web Enterprise Scanner. Но в конфигурации доспупен только Dr.Web Сканер для Windows.

Думаю Dr.Web Enterprise Scanner и Dr.Web Сканер для Windows - это одно и то же. Как я уже говорил в сканере исключения стоят и на папку и на файлы.

#8 John

John

    Member

  • Posters
  • 399 Сообщений:

Отправлено 03 Март 2009 - 10:22

Вам надо настроить исключения как в Гварде так и в Сканере, то есть в двух местах. Проверте, так ли это?

#9 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 10:34

Вам надо настроить исключения как в Гварде так и в Сканере, то есть в двух местах. Проверте, так ли это?


Да, это так.

#10 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Март 2009 - 10:43

Посмотрите кто и когда удаляет. Есть подоздрение, что это Dr.Web Enterprise Scanner, запускаемый по расписанию при старте системы. Следовательно там исключение и нужно поставить.


Спасибо! Разобрался, действительно, Dr.Web Enterprise Scanner - это не то же что и Сканер для Windows, и в него также необходимо вносить исключение.

#11 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 03 Март 2009 - 12:55

Но после перезагрузки при входе пользователя в систему эти файлы удаляются, в журнале инфекций для данной станции появляются записи, что эти файлы инфицированы и были удалены.

Приведите, пожалуйста, цитату из журнала инфекций и результат проверки этих файлов на http://www.virustotal.com/

#12 dabutch

dabutch

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Март 2009 - 06:52

Но после перезагрузки при входе пользователя в систему эти файлы удаляются, в журнале инфекций для данной станции появляются записи, что эти файлы инфицированы и были удалены.

Приведите, пожалуйста, цитату из журнала инфекций и результат проверки этих файлов на http://www.virustotal.com/


Пожалуйста

a-squared4.0.0.1012009.03.04Riskware.Monitor.Win32.Perflogger!IKAhnLab-V35.0.0.22009.02.27-AntiVir7.9.0.982009.03.03DR/Perflogger.AHAuthentium5.1.0.42009.03.04W32/PerfLogger.A.gen!EldoradoAvast4.8.1335.02009.03.04Win32:Trojan-gen {Other}AVG8.0.0.2372009.03.03Logger.BRMBitDefender7.22009.03.04Trojan.KeyLogger.
MSQCAT-QuickHeal10.002009.03.03-ClamAV0.94.12009.03.03Trojan.Perflog-36Comodo10212009.03.03Unclassified MalwareDrWeb4.44.0.091702009.03.03Trojan.KeyLogger.27eSafe7.0.17.02009.03.03-eTrust-Vet31.6.63812009.03.03-F-Prot4.4.4.562009.03.04W32/PerfLogger.A.gen!EldoradoF-Secure8.0.14470.02009.03.04Monitor.Win32.Perflogger.adFortinet3.117.0.02009.03.0
4Keylog/PerfectGData192009.03.04Trojan.KeyLogger.MSQIkarusT3.1.1.45.02009.03.04not-a-virus:Monitor.Win32.PerfloggerK7AntiVirus7.10.6562009.03.03not-a-virus:Monitor.Win32.Perflogger.adKaspersky7.0.0.1252009.03.04not-a-virus:Monitor.Win32.Perflogger.adMcAfee55422009.03.03potentially unwanted program Keylog-PerfectMcAfee+Artemis55422009.03.03potentially unwanted program Keylog-PerfectMicrosoft1.44052009.03.04-NOD3239062009.03.03Win32/Spy.PerfKeyNorman6.00.062009.03.03W32/Perfloger.AOJnProtect2009.1.8.02009.03.04Trojan-Spy/W32.KeyLogger.438272Panda10.0.0.102009.03.03Application/PerfectKeyLog.AJPCTools4.4.2.02009.03.03Spyware.Perfect!sd6Prevx1V22009.03.04High Risk Cloaked MalwareRising21.19.20.002009.03.04-SecureWeb-Gateway6.7.62009.03.03Trojan.Dropper.Perflogger.AHSophos4.39.02009.03.04Perfect KeyloggerSunbelt3.2.1858.22009.03.02Perfect KeyloggerSymantec102009.03.04Spyware.PerfectTheHacker6.3.2.7.2712009.03.03Aplica
cion/Perflogger.adTrendMicro8.700.0.10042009.03.03-VBA323.12.10.12009.03.03Trojan.KeyLogger.27ViRobot2009.3.3.16322009.03.04-VirusBuster4.5.11.02009.03.03-Дополнительная информацияFile size: 438272 bytesMD5...: 1112e89859a0f2b052d5eb1626e25664SHA1..: 7864b86a7e0ac3fc28e898d06eefc829e8d3be02SHA256: 92ff08bfffa729b69d6e4e128ee2fa03a1c1f367b168213e907bd3f70d64cb61SHA512: c45f365ade9829f07605e686d3998e24f39c7b73b97639412191d4fc0fda3bfa
1a087669a9a8ba1eb859ff8135c80df730e4709594201cb531b2bc08ececcb9e

В журнале инфекций Dr.Web данный файл идентифицируется также Trojan.KeyLogger.27, речь идёт о Perfect Keylogger _http://www.blazingtools.com/bpk.html


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых