38 ответов в этой теме

[PUMP+]

Здравствуйте !

 

Имеем последнюю ревизию ESS Server 10.

12 августа по почте пришел свежий троянец - архив с файлом .scr.

Троянец в антивирусную базу не включен - эвристикой тоже не определяется.

Запустил его на виртуалке (WinXP SP3) с последней версией агента и на данный момент обновленными базами.

 

Запустил - сработала превентивная защита (по умолчанию минимальный уровень) и переместила файл в карантин (срабатывает почему-то через раз).

 

Но нигде этот факт не отражен !!! - Т.е. ни в отчетах ESS сервера (инфекции, вирусы), ни в статистике самого агента (spider) на рабочей станции.

 

Предполагаемый вирус (троянец), все равно прописался в автозапуске.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

c:\winxp\system32\bkarjhvebkgaam.exe

 

при удалении записи из реестра вручную, он все равно ее перезаписывает, проактивная защита не срабатывает, даже если там поставить "Автозапуск программ" - "Спрашивать"

 

Сформировал запрос в ТП  78AV-VYWT / Действие 5268011, на следующий день пришел ответ: "Добавлен в базу, как Trojan.Ranbyus.22  Спасибо за сотрудничество."

 

Разморозил зараженную виртуалку, агент обновил базы и... НИЧЕГО ! Спайдер не ругается. Станцию специально не перегружал, сканирование не запускал - для эмуляции поведения рядового пользователя - не обратил внимания, не выключил компьютер и т.д.

 

За 3 часа работы станции троянец так и не отдетектился, хотя стоит фоновая проверка на руткиты.

Время

13-08-2014 10:35:28

Текст оповещения

Получено сообщение от SpIDer Guard for Windows workstations со станции WS2 (tcp://192.168.2.4:1028) о том, что 13/08/2014 в 10:35:27.984 завершилось сканирование.

Просканировано 127
Инфицировано 0
Модификацией 0
Подозрительные 0

Вылечено 0
Удалено 0
Переименовано 0
Перемещено 0

Скорость сканирования составила 2446 КБ/сек.

 

В общем, что имеем:

1. 320 станций на которых предполагается развернуть 10 версию

2. Отсутствие логирования потенциальных опасностей

3. Нет опции пересканирования фоновых процессов при обновлении вирусной базы.

 

Т.е. есть достаточно большой промежуток времени, когда вредоносное ПО будет функционировать и администратор ИБ даже не будет знать о возможных проблемах.

 

Логи со станции и скриншоты приложены.

Прикрепленные файлы:

•  Virus_autoruns.JPG   494,17К   0 Скачано раз
•  Virus_detect.JPG   27,78К   0 Скачано раз
•  Virus_No_Report.JPG   59,55К   0 Скачано раз
•  Logs.zip   249,8К   2 Скачано раз

[Konstantin Yudin]

в логах ничего полезного. нужен полный отчет. и где подтверждение что детект реально на фйайл появился? может он его и не знает. DPH это поведение при запуске. дальше уже сигнатуры, если есть. а если нет, то фоновая проверка ничего не изменит.

[PUMP+]

в логах ничего полезного. нужен полный отчет. и где подтверждение что детект реально на фйайл появился? может он его и не знает. DPH это поведение при запуске. дальше уже сигнатуры, если есть. а если нет, то фоновая проверка ничего не изменит.

Скопировал в корень из C:\WINXP\SYSTEM32 файл bkarjhvebkgaam.exe

 

в логах:

 

20140813.170700 [CL] C:\bkarjhvebkgaam.exe - infected with Trojan.Ranbyus.22

20140813.170705 [CL] C:\bkarjhvebkgaam.exe - quarantined (234,5K 4818/76ms 3074KB/s) 

 

станция работает с этим трояном в памяти уже 8 часов - он до сих пор не детектирован.

 

 

Меня в общем-то волнуют пока только два вопроса:

1. Почему при обновлении баз не происходит заново проверка всех работающих процессов

2. Почему в отчетах нет никаких сообщений об обнаружении "вредоносных объектах"

 

Говорите, какая вам конкретно информация нужна.

[RomaNNN]

Меня в общем-то волнуют пока только два вопроса:

1. Почему при обновлении баз не происходит заново проверка всех работающих процессов

2. Почему в отчетах нет никаких сообщений об обнаружении "вредоносных объектах"

 

1. Проверка процессов в буквальном понимании не производится никогда, это только в сканере. То, что Вы имеете ввиду, называется ресканом. Раньше он всегда был включен и занимался тем, что при обновлении баз проверял файлы тех процессов, которые запущены. Сейчас на смену рескану пришла технология фонового сканирования, которая делает все то же + больше, но только в фоне и регулярно. Если фоновое сканирование выключить, то рескан включится обратно.

[PUMP+]

 

Меня в общем-то волнуют пока только два вопроса:

1. Почему при обновлении баз не происходит заново проверка всех работающих процессов

2. Почему в отчетах нет никаких сообщений об обнаружении "вредоносных объектах"

 

1. Проверка процессов в буквальном понимании не производится никогда, это только в сканере. То, что Вы имеете ввиду, называется ресканом. Раньше он всегда был включен и занимался тем, что при обновлении баз проверял файлы тех процессов, которые запущены. Сейчас на смену рескану пришла технология фонового сканирования, которая делает все то же + больше, но только в фоне и регулярно. Если фоновое сканирование выключить, то рескан включится обратно.

 

Как выключить "Фоновое сканирование" ?   Выходит, что "Фоновое сканирование" не работает ? Я установки по умолчанию не трогал.

Что-то эта новая технологи напоминает дыру в защите

Сообщение было изменено PUMP+: 13 Август 2014 - 16:36

[Konstantin Yudin]

Что то не то. Отчет сформируйте плиз.

[PUMP+]

Выставил в превентивной защите спрашивать "Автозапуск программ".

Запускаю на данной станции различные операции по модификации автозапуска - никаких результатов - в секции реестра автозагрузки и в "Автозагрузку" без проблем все пишется.

Периодически на этой станции выскакивает окошко с просьбой запустится от админа - посмотрел инициатор процесс эксплоер, хотя троян вроде инжектируется в svhost.exe.

 

 

Прикрепленные файлы:

•  WS2_Admin_130814_202522.zip   1,19Мб   2 Скачано раз

[Konstantin Yudin]

В ES нет режима спрашивать если правильно помню. Надо в консоле глянуть что там есть

[PUMP+]

Автозапуск программ

Software\Microsoft\Windows\CurrentVersion\Run

Software\Microsoft\Windows\CurrentVersion\RunOnce

Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup

Software\Microsoft\Windows\CurrentVersion\RunServices

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

 

Пользовательский - уровень защиты, определяемый пользователем (администратором Сервера) на основе настроек, заданных в таблице ниже.

Для задания пользовательских настроек уровня превентивной защиты установите в таблице данного раздела флаги в одно из следующих положений:

 

• Разрешать - всегда разрешать действия с данным объектом или со стороны данного объекта.

• Спрашивать - выводить диалоговое окно для задания необходимого действия самим пользователем для конкретного объекта.

• Запрещать - всегда запрещать действия с данным объектом или со стороны данного объекта.

 

Непонятно почему не включили в "Автозапуск программ" следующие пути  (в данном примере абсолютные - пример для 7)

 

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

 

Наверное решили, что вредоносное ПО "постесняется" туда прописываться

 

 

 

 

Прикрепленные файлы:

•  pz.jpg   306,74К   0 Скачано раз

[maxic]

PUMP+, туда легальные программы прописываются. С чего бы их блокировать?

[basid]

Есть автозапуск в HKLM (система в целом) и в HKCU (конкретный пользователь).

Запись в первый - лучше блокировать, запись во второй - разрешать.

Куда именно прописался троян?

[PUMP+]

PUMP+, туда легальные программы прописываются. С чего бы их блокировать?

?! Вы серьезно ? В данном примере туда и прописалось

Есть автозапуск в HKLM (система в целом) и в HKCU (конкретный пользователь).

Запись в первый - лучше блокировать, запись во второй - разрешать.

Куда именно прописался троян?

На первых скриншотах видно в какие секции прописался троян

[DoC]

Есть автозапуск в HKLM (система в целом) и в HKCU (конкретный пользователь).

Запись в первый - лучше блокировать, запись во второй - разрешать.

Куда именно прописался троян?

так ведь в начале указано было - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

[PUMP+]

 

Есть автозапуск в HKLM (система в целом) и в HKCU (конкретный пользователь).

Запись в первый - лучше блокировать, запись во второй - разрешать.

Куда именно прописался троян?

так ведь в начале указано было - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 

Еще в область для "легальных програм"

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка

[PUMP+]

 

 

Есть автозапуск в HKLM (система в целом) и в HKCU (конкретный пользователь).

Запись в первый - лучше блокировать, запись во второй - разрешать.

Куда именно прописался троян?

так ведь в начале указано было - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 

Еще в область для "легальных програм"

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка

 

Т.е. эти места не контролируются превентивной защитой

[RomaNNN]

Еще в область для "легальных програм"

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка

Т.е. эти места не контролируются превентивной защитой

Не может быть. В ранних версиях standalone (еще в 8.0 версии) был такой баг, что этот каталог не отслеживался, но его пофиксили еще в бете (#81614). Если сейчас не отслеживается, то это баг.

 

Хотя вот проверил на релизе Dr.Web Security Space 9.1, режим "Спрашивать" работает корректно.

 

 prev.png   479,01К   0 Скачано раз

[Valentina Yugai]

Так, похоже, имеет место взаимонепонимание.

 

Превентивная защита не защищает от автозапуска программ, она защищает ветку реестра от зщаписи в нее. Как на скриншоте в предыдущем посте.

 

Если программа уже есть в автозапуске, то постфактум включение превентивки не поможет.

 

Произведите быстрое сканирование на станции.

[Konstantin Yudin]

Так, похоже, имеет место взаимонепонимание.

 

Превентивная защита не защищает от автозапуска программ, она защищает ветку реестра от зщаписи в нее. Как на скриншоте в предыдущем посте.

 

Если программа уже есть в автозапуске, то постфактум включение превентивки не поможет.

 

Произведите быстрое сканирование на станции.

тему почитай

[Valentina Yugai]

Читаю. Куча разговоров и никто не посоветовал человеку почистить систему сканером.

[Konstantin Yudin]

читай еще раз. не нужен тут никакой сканер