Лидеры форума

http://forum.kasperskyclub.ru/index.php?sh...st&p=298371 Без комментариев....

Навеяно темой http://www.symantec.com/connect/downloads/...t-report-e-mail Где то на форуме была политика для ведения лога по записанным и прочитанным файлам на съемных накопителях. в этой теме покажу как получать отчеты о доступе к файлам на съемных устройствах с помощью простых манипуляций. Будет рассмотрена связка SQL 2008 + SEPM 11.0.6005 Что нам понадобится. Во первых, настроить Database Mail согласно рекомендаций. http://marslert.com/blog/2009/03/16/config...-database-mail/ С помощью запроса SQL Query получаем параметры которые нам будут нужны: SELECT [profile_id] ,[name] ,[description] ,[last_mod_datetime] ,[last_mod_user] ,'EXEC msdb.dbo.sp_send_dbmail@profile_name = ''' + name + ''',@recipients = ''ваш_емайл@company.com'', @subject = ''Test'',@body = ''Message'', @body_format = ''HTML'';' AS TestSQL FROM [msdb].[dbo].[sysmail_profile] Получаем строку типа EXEC msdb.dbo.sp_send_dbmail @profile_name = 'Database Mail', @recipients = 'ваш_емайл@company.com', @subject = 'Test', @body = 'Message', @body_format = 'HTML'; В SEPM на необходимую группу вешаем политику. Импорт из атача Log documents from-to removable drives.dat В этой политике уже готово правило которое будет записывать в Client Management logs-->Control Log все операции с файлами с расширениями *.doc, *.docx, *.xls, *.xlsx,*.pst,*.xml,*.txt,*.xlt,*.pdf,*.csv,*.xml,*.mht,*.mhtml,*.rar,*.zip,*.7z, *.0* При это в логе на клиенте SEPM будет отображаться информация в формате ниже на скрине с указанием названия правила которое фигурирует выше в политике (важно!). Настраиваем в SEPM сроки хранения журнала на клиенте и его размер (в SEPM выбираем Clients-->группу-->в политиках Client log settings). Нужные нам параметры - в control log. Обязательно ставим галку Upload to management server. Устанавливаем в параметрах сервера SEPM настройки хранения логов. Все логи с клиентов будут собираться в нашу базу в таблицы: [Endpoint].[Endpoint].[AGENT_BEHAVIOR_LOG_1] [Endpoint].[Endpoint].[AGENT_BEHAVIOR_LOG_2] Endpoint - название БД. Что в них собирается - вы можете посмотреть сами и выбрать необходимые поля По сути поля почти теже что и в логе на клиенте. Обращение к этим двум таблицам сразу возможно через уже встроенную вьюшку [Endpoint].[Endpoint].[V_AGENT_BEHAVIOR_LOG] содержащую простейшее обращение к этим таблицам: SELECT *FROM AGENT_BEHAVIOR_LOG_1UNION ALLSELECT *FROM AGENT_BEHAVIOR_LOG_2 Строим запрос к БД с нужными полями, преобразуем формат времени из bigint в удобоваримый. Возьмем следующие поля: FILE_NAME - имя файла с которым производятся операции VAPI_NAME - операция Read\Write (к сожалению, другие операции не будут видны) CALLER_PROCESS_NAME -- имя процесса которым читается\записывается файл HOST_NAME,USER_NAME,DOMAIN_NAME - имя хоста (будет без домена), имя пользователя (будет без домена), имя конечного домена без сабдоменов. EVENT_TIME - собственно время. Время в БД юниксовое, так что приводим его в удобоваримый вид. select PARAMETER AS FILE_NAME,VAPI_NAME,CALLER_PROCESS_NAME,HOST_NAME,USER_NAME,DOMAIN_NAME, EVENT_TIME = DATEADD(SECOND, EVENT_TIME / 1000, '19700101 00:00'), RULE_NAMEfrom [Endpoint].[Endpoint].[V_AGENT_BEHAVIOR_LOG]where [rule_name] like '%Log documents from-to removable drives%'order by [EVENT_TIME]; Обращаю внимание на строку '%Log documents from-to removable drives%' - берем совпадения по названию правила. В БД оно несколько изменено на конце, поэтому построен запрос именно так. Если правильно все сделали и журналы уже собраны в SEPM - в результате запроса увидите результат о доступе к файлам на устройстве. Собрав данные в БД вы простым запросом за интересующий вас интервал по любым полям (пользователю\компу\домену\времени) можете сделать выборку. Переходим к украшательствам. Нужны автоматические письма? Делаем автоматический запуск SQL Agent (без него не работают джобы) и вешаем задание. В задание вешаем скрипт: DECLARE @xml NVARCHAR(MAX)DECLARE @body NVARCHAR(MAX)SET @xml = CAST(( select PARAMETER AS 'td',' ' FILE_NAME,VAPI_NAME AS 'td',' ',CALLER_PROCESS_NAME AS 'td',' ',HOST_NAME AS 'td',' ',USER_NAME AS 'td',' ',DOMAIN_NAME AS 'td',' ',DATEADD(SECOND, EVENT_TIME / 1000, '19700101 00:00') AS 'td',' 'from [Endpoint].[Endpoint].[V_AGENT_BEHAVIOR_LOG]where ([rule_name]like '%Log documents from-to removable drives%') and(DATEADD(SECOND, EVENT_TIME / 1000, '19700101 00:00') between DATEADD (HOUR, -24, getdate()) and GETDATE())order by [EVENT_TIME] FOR XML PATH ('tr'), ELEMENTS ) AS NVARCHAR(MAX))SET @body ='<html><H3><center><FONT COLOR="#7E2217">SEPM - Отчет за последние 24 часа по записи\чтению на съемные накопители USB</FONT></H3></center><body><table border = 1><tr><FONT COLOR="#736AFF"><th>Имя файла</th><th>Операция</th><th>Процесс</th><th>Имя ПК</th><th>Имя пользователя</th><th>Имя домена</th><th>Время (Мск)</th></tr>'SET @body = @body + '<style>' + 'td {font-size:8pt;} '+ '</style>'+ @xml +'</table></FONT></body></html>'EXEC msdb.dbo.sp_send_dbmail/*msdb.dbo.sp_send_dbmail*//*EXEC [msdb].[dbo].[sysmail_profile]*/@recipients=N'ваш_емйл@company.com',@body = @body,@body_format = 'HTML',@subject ='SEPM Application Control - USB Read\Write Attempts',@profile_name = 'Database Mail' @profile_name = 'Database Mail' - здесь прописать то что получилось в результате запроса выше (EXEC msdb.dbo.sp_send_dbmail @profile_name = 'Database Mail', @recipients = 'ваш_емайл@company.com', @subject = 'Test', @body = 'Message', @body_format = 'HTML' Скрипт автоматом будет получать время запуска и строить отчет за последние 24 часа за счет (DATEADD(SECOND, EVENT_TIME / 1000, '19700101 00:00') between DATEADD (HOUR, -24, getdate()) and GETDATE()) Если нужен другой срок - думаю, вы в состоянии будете изменить параметры. На свой указанный в скрипте емайл будете получать отчеты. Если есть какие то добавления\желания - все можно сделать на основе этой реализации. Удачи Log_documents_from_to_removable_drives.rar Log_documents_from_to_removable_drives.rar

Независимая австрийская тестовая лаборатория AV-Comparatives провела тест-обзор продуктов Safe'n'Sec. В рамках тест-обзора были рассмотрены: принципы работы продуктов Safe'n'Sec, процесс установки/удаления с ПК, простота и удобство работы/настройки продукта, а также качество защиты. В рамках теста на качество защиты продукты Safe'n'Sec показали 100%-ую эффективность в борьбе с вредоносным ПО, неопределяемым классическими антивирусными продуктами. Скачать тест-обзор Вы можете по следующей ссылке - http://www.safensoft.com/images/File/pdf/S...afensec2010.pdf P.S. На данный момент доступна только английская версия тест-обзора, но в скором времени будет доступна и русская версия тест-обзора.

Это называется "костыль" За это никто не будет деньги платить, если есть бесплатный аналог. И еще который и по тестам лучше. Ну Ё-моЁ!!! И вы тудаже!!! А если это фича, то почему тогда разрабы Фаерфокса, И даже ослика пообещали закрыть эту "фичу"??? Пруф недам, непомню где читал. Но про фаерфокс - в блоге разрабов. А вот и пруф на уязвимость! http://w2spconf.com/2010/papers/p26.pdf

Это вы про этот кривой файл заставки, которая продаётся за $17.95? Да и лицензия на upx не GPL, а модификация - UPX License Agreement. А там написано: Ну и вот что мне автомат выдал на неё (да, я ленив): Так что нефиг.

Москва, 29 июня 2010 года – Microsoft напоминает, что в соответствии с объявленным ранее графиком c 22 октября 2010 года ОЕМ-производители компьютеров перестанут выпускать нетбуки с предустановленной операционной системой Windows XP Home. Такое решение было принято ещё в 2008 году в рамках общей стратегии перехода на более новое и производительное программное обеспечение. Начиная с этой даты, все новые нетбуки будут поступать в продажу с предустановленной системой Windows 7, которая на сегодняшний день является самой надёжной, безопасной и удобной в использовании. Для большинства пользователей это изменение пройдет незаметно, так как уже сейчас производится и продается много моделей нетбуков с Windows 7. Также 13 июля этого года прекращается техническая поддержка Windows XP с пакетом обновления 2 (Service Pack 2). Пользователи этой версии Windows XP не смогут получать регулярные обновления и исправления системных ошибок. Для обеспечения безопасности компьютера Microsoft рекомендует либо установить последнюю версию пакета обновлений - Windows XP Service Pack 3 через сайт Microsoft Update (поддержка этой версии оказывается до апреля 2014 года), либо перейти на новую Windows 7, что будет наиболее оптимальным решением с учётом прогресса в развитии технологий. Определить версию установленной на компьютере операционной системы просто. Процесс описан на сайте Windows: http://windows.microsoft.com/ru-RU/windows...em-am-i-running. Узнать больше о Windows 7 на сайте http://windows.microsoft.com/windows-7?os=win7.

Российское представительство компании ESET, международного разработчика антивирусного ПО и решений в области компьютерной безопасности, сообщает о выпуске аналитического отчёта, посвящённого последней модификации известного руткита Win32/Olmarik. Данная публикация открывает серию аналитических материалов об угрозах информационной безопасности, подготовленных Центром вирусных исследований и аналитики российского представительства ESET. Руткит Win32/Olmarik по классификации ESET (известен также под названием TDSS) активно используется злоумышленниками для создания бот-сетей. Как и многое вредоносное ПО подобного класса, Win32/Olmarik состоит из нескольких функциональных модулей. В результате он может применяться для решения различных задач в зависимости от состава используемых модулей. Win32/Olmarik приобрёл известность благодаря своей способности обходить защиту многих антивирусных решений, в том числе использующих технологии HIPS для детектирования вредоносных действий исполняемого кода. Кроме того, Win32/Olmarik отличается высоким уровнем выживаемости. Заслуживают внимания схемы распространения руткита. Например, создатели Win32/Olmarik используют достаточно распространённую сегодня схему Pay-Per-Install, при которой они получают вознаграждение за каждую установку руткита в системе, по сути, за каждое заражение компьютера. В результате, чем успешнее будет руткит, тем больше денег получат его создатели. Несмотря на то, что руткит известен уже достаточно продолжительное время (около двух лет), вредоносный код регулярно дорабатывается злоумышленниками для успешного противодействия антивирусным решениям. Свежий отчёт ESET агрегирует опыт прошлых изысканий и последних собственных исследований свежих версий руткита, известных под обобщённым названием TDL3. О результатах препарирования Win32/Olmarik читайте в отчёте Центра вирусных исследований и аналитики ESET «Руткит Win32/Olmarik: технологии работы и распространения». «Модификация руткита TDL3 особо выделяется на фоне других вредоносных программ использованием оригинальных способов внедрения и сокрытия присутствия, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. — По нашим статистическим данным наибольшее распространение эта вредоносная программа получила в США и европейских странах отчасти потому, что некоторые модификации руткита не устанавливаются на компьютеры с локализацией ОС из регионов, не представляющих интереса для злоумышленников. В нашем отчёте мы постарались подробно рассмотреть различные технические нюансы, некоторые из которых не освещались ранее в публичных источниках информации». Пресс-выпуск.

поддержка Windows 7 была заявлена в версии 9.0.0.736 изначально без всяких критикал фиксов-для поддержки 7 советовали переходить с версии 9.0.0.463 на 9.0.0.736. Ну и для того что бы не было словесной казуистики которую тут Вы успешно используете поясню .Хотя на сайте ЛК говорится о том что отличие одной версии от другой это критикал фикс это неверно. Это новая версия. Так как Для того, чтобы перейти с одной версии на другую , "необходимо проделать следующее:скачать сборку 9.0.0.736 с официального веб-сайта Лаборатории Касперского: http://www.kaspersky.ru/kaspersky_internet...urity_downloads запустить скачанный файл установить последнюю версию продукта "поверх" текущей перезагрузить компьютер."- цитирую Базу знаний. А критикал фиксы не требуют так всё кардинально менять ,критикал фиксы это буковки a,b,c-вот сейчас для версии 9.0.0.736 три критикал фикса.Я так понимаю

Новая волна действительно пошла. Например, только сегодня на номер 5121 (Контент-Провайдер Первый Альтернативный ЗАО, название услуги: SMS-викторина Фруктовый сад, тариф без ндс - 254,24 руб.) было два разных "попадания": 1) с текстом 1011266 (помог только деблокер ЛК) - разлокировка по двойному sms - сначала 193766431, потом 286737021. 2) с текстом 3378074 (точный код "назвали" деблокеры и Dr.Web, и ЛК) - 6789246356. И снова за эти дни мая пошли частые жалобы на блокировку браузера от вконтактников.

Вы сами себе противоречите. Сперва заявляете, что ждете "критикал фикс" (то есть - CF), потом. когда вам говорят, что антивирус сразу будет выпущес с CF заявляете, что ждете какой-то "притирки". Так когда вы правду говорите, а когда врете? Проблемы негров шерифа не заботят.