Перейти к содержанию
SasZt

Проблема с добавлением новых образцов зловредов

Recommended Posts

SasZt

Добрый день!

Работаю в одном из университетов Украины. Используем лицензионный Symantec Corporate Edition (лицензии на поддержку нет).

В учебных классах выловил 3 образца зловредов не определяемых антивирусом. Проблема в том, что на протяжении МЕСЯЦА не могу их добавить в базу (используя форму https://submit.symantec.com/websubmit/retail.cgi отправляю почти каждый день), система в автоматическом режиме ничего не находит. Вирустотал выдает распознавание этих образцов другими антивирусами.

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Это впервые за 12 лет в моей практике (за это время мною было добавлено в базу около двух сотен образцов). Как можно выйти из такой ситуации?

update:

час назад один образец таки добавили - W32.Ircbrute.D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Вирустотал выдает распознавание этих образцов другими антивирусами.
таки добавили - W32.Ircbrute.D

Примерно такой детект? >>>

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Прочтите описание от Symantec от 22 апреля >>>

- подробности о W32.Ircbrute.D >>>

- рекомендации по удалению >>>

Первым делом отключение "Восстановление системы" на заражённых машинах и далее по тексту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Детект немного другой

Спасибо за ссылки и пояснения насчет поддержки.

С одним разобрались, но есть еще этот и особенно вот этот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

SasZt Да, ребятишки натаскали вам полный набор. :) В таком случае защита должна быть актуальной.

Первым делом отключитесь от сети и сделайте полную проверку системы или хотя бы системного диска.

Потом:

1. Загрузитесь в Safe Mode через F8.

2. Запустите для контроля Менеждер процессов через CTRL+ALT+DELETE.

3. Проверьте наличие в памяти процесса P2P-Worm.Win32.Palevo.jsf, и, если увидите, то завершите его.

4. Произведите поиск по реестру P2P-Worm.Win32.Palevo и удалите все ветки и ключи: например, HKEY_LOCAL_MACHINE\Software\P2P-Worm.Win32.Palevo

5. Зайдите в Program Files и удалите директорию "P2P-Worm.Win32.Palevo", если она там ещё будет.

По другому зловреду, также в безопасном режиме очистите все папки Temp и Temporary Internet Files, включая скрытые директории в Documents and Settings, утилитой очистки или вручную.

Просмотрите директории локальных дисков. Удалите в них все exe-файлы и autorun.inf.

Для окончательной зачистки используйте программу HijackThis, если знаете как ей пользоваться. Если нет, то вот одно из руководств по её использованию.

HijackThis___краткое_руководство.zip

HijackThis___краткое_руководство.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Спасибо, HijackThis еще не пользовался.

"Руками" я и раньше их вычищал, но это спасает не долго, через пару дней их обратно приносят (как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет

Вы в этом неодиноки. Каждый день вижу весь этот "компот" на десятках компьютеров.

Студенты таскают их к вам от себя. Это новые версии "социальных" зловредов - из соц. сетей, фриварников и варезников.

Кроме того, сейчас много новых модификаций "попрыгунчиков". Есть даже такой, который обходит все уровни защиты - "самолёт-невидимка", у него даже иконка такая же, код позволяет сразу садиться на хвост Проводнику, "место посадки", в основном, в папке C:\WINDOWS\system32 или C:\Documents and Settings\Имя пользователя. Его и мало кто видит при сканировании. Вреда от него почти нет, одни неудобства и психологический дискомфорт, но если их объединить с другими, то полный букет обеспечен - какие-то обрубятся защитой, а другие пролетят и сядут.

Другие банально валятся толпой и оседают в основные системные папки и директории Documents and Settings\Имя пользователя.

С удалением неудалимого, вам может очень помочь ERD Commander (описание). Загружаетесь с поддержкой установленной ОС или без поддержки.

Без поддержки можно удалить все скрытые папки и файлы, созданные зловредами, а также удалить RECYCLER, System Volume Information и т.н. "ложные корзины", а с поддержкой можно вычистить автозагрузку, сделать нужные изменения в файлах загрузки, конфигурации, удалить некоторые ключи реестра, созданные зловредами и мн. др.

Также ознакомьтесь вот с этим и этим моими постами.

Почиститесь капитально и обновите лицензию на Symantec или приоретите новую.

Сергей Краснов вам писал выше. Обращайтесь к нему, он как раз из Symantec.

У вас опция личных сообщений пока закрыта, откроется после 5-го или 10-го поста. Пока не открылась по всем вопросам пишите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Все же странное отношение у Семантика к образцам из формы retail.cgi, прошла еще одна неделя, два выше указанных файла так и не детектятся :), хотя зловреды там явно есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×