Jump to content

Dr.web нашёл пропущенный "Касперским" вирус


М.Е.

Recommended Posts

В одной организации сложилась следующая ситуация. Некоторое время назад всем централизованно поставили Антивирус Касперского. Через какое-то время в работе некоторых компьютеров возникли некие проблемы. Решили, что вирус в корпоративной сети завёлся. "Касперский", несмотря на то, что регулярно обновлялся, ничего подозрительного не находил. Кто-то сообразил скачать утилиту Cure It! от Dr.Web и проверить ею компьютеры. И обнаружилось, что действительно есть вирусы. Прежде всего речь идёт о сомнительном файле cbzvl.exe, в котором содержится Trojan.Packed.21635. Судя по всему, эта бяка заражает людям флешки. Вставляешь чистую форматированную флешку, и она тут же на нее записывает файл autorun.inf, на который начинают ругаться антивирусы каждого компа, куда вставляешь (даже тот же Касперский).

 

Возникают три вопроса:

1. Почему лечилка от Доктора Веба находит этот вирус, а обновляемый лицензионный Касперский - нет?

2. Почему Касперский на заражённом компе не считает флешечный файл autorun.inf опасным, а на других компьютерах блокирует его?

3. (Морально-этический) Пользоваться лечилкой Доктора Веба на работе нельзя (в его лицензионном соглашении написано, что сия вещь легитимна только на домашних компах). Официальный Касперский вирус не находит. В пользовательском режиме файл cbzvl.exe не удаляется после перемещения в карантин даже Доктором Вебом (видимо, нужно тупо войти из-под админского профиля). Админский доступ есть только у товарищей из IT-отдела, которые, как теперь принято, запрещают нелицензионное ПО (времена нынче не те!). Админы не будут чистить компьютер от как бы вредных файлов без повода: официальный антивирус ведь не находит их!!! Таким образом, мы не можем им сказать про вирус, так как сразу возникнет вопрос, чем мы его нашли (если их Касперский не находит). Так вот и приходится людям работать на заразных компах и носить заразу дальше;) Если попросить их убрать автозапуск флешек, тоже пойдут вопросы, мол, а чем он вас не устраивает и т.д. (хотя видимо, это наиболее реальный ход развития событий в данных условиях). Но хотелось бы знать, можно ли избавиться от данного вируса без админских прав?

Link to post
Share on other sites

В пользовательском режиме файл cbzvl.exe не удаляется после перемещения в карантин даже Доктором Вебом (видимо, нужно тупо войти из-под админского профиля)

380817[/snapback]

И это кагбе намекает. Не мог этот вирус прочно поселиться куда-нибудь в автозагрузку и блокировать Касперского сам?

Link to post
Share on other sites

Почему лечилка от Доктора Веба находит этот вирус, а обновляемый лицензионный Касперский - нет?

380817[/snapback]

Потому, что идеальных антивирусов не существует. К тому же среди сволочей-вирусописателей увы, много умных, и вот по этой причине:

всем централизованно поставили Антивирус Касперского

вирус вполне может иметь самозащиту именно от "Касперского".

Админы не будут чистить компьютер от как бы вредных файлов без повода: официальный антивирус ведь не находит их!!!

380817[/snapback]

Если у них зарплата выше 20 тыс., стоит поискать других. ;)

можно ли избавиться от данного вируса без админских прав

380817[/snapback]

На этот вопрос никто, кроме ваших же системщиков, не ответит. Откуда посторонним знать, как у вас там настроены политики безопасности и права доступа?

ОФФ. Моё счастье, что имею админские права.

Link to post
Share on other sites

ну а вы попользуйтесь постоянно Др. Вебом, а через полгодика прогоните системы касперским - он вам ещё больше вирусов найдёт.

Нет таких антивирусов, чтоб все вирусы видеть.

Link to post
Share on other sites

Если попросить их убрать автозапуск флешек, тоже пойдут вопросы, мол, а чем он вас не устраивает и т.д. (хотя видимо, это наиболее реальный ход развития событий в данных условиях).

380817[/snapback]

 

Вот это вызывает бОльшие вопросы по поводу компетенции ИТ-службы. Трудно представить сферу деятельности компании, в которой нужен автозапуск флешек. А вот дыру в безопасности он создает. Создает дыру также вообще наличие флеш-дисководов и CD-RW, поэтому во многих местах их отключают или не устанавливают.

Link to post
Share on other sites

Мое мнение как человека, ответственного за ИТ-безопасность (в качестве заместителя, но все же).

 

Пусть пользователи хоть все время сидят в контакте, порнухе, и так далее. Это их дело (ген.дир. может считать не так, но я бы его убедил, что это их дело).

 

Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

Link to post
Share on other sites

Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

380989[/snapback]

Контролировать мэйл путём человека из кровавой гебни, который сидит и читает каждое письмо? Да ну бросьте.

Link to post
Share on other sites

Контролировать мэйл путём человека из кровавой гебни, который сидит и читает каждое письмо? Да ну бросьте.

380990[/snapback]

 

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку, и при возникновении подозрений проверять ее.

 

Да конечно они могут сливать все это через публичные почтовики типа mail.ru. Но это запретить я не могу.

 

А использование корпоративной почты в личных целях (для слива информации, свои фотки пусть кому угодно сливают) - можно проконтролировать. Если такой запрос будет от руководства.

Link to post
Share on other sites

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку, и при возникновении подозрений проверять ее.

380991[/snapback]

В тру-организациях вся исходящая почта автоматом копируется на специальный ящик, где спокойно лежит до тех пор, пока он не переполнится ;)

Link to post
Share on other sites

В тру-организациях вся исходящая почта автоматом копируется на специальный ящик, где спокойно лежит до тех пор, пока он не переполнится

380992[/snapback]

 

О чем и речь...

Link to post
Share on other sites

Трудно представить сферу деятельности компании, в которой нужен автозапуск флешек

В компании несколько отделов, между которыми нет сети. Документы переносятся на флешках. Со временем, когда будет создана общая сеть и когда народ научится с нею полноценно работать, USB-разъёмы может быть и вообще уберут, это достаточно логичный путь... Запретить автозапуск - видимо, просто до этого ИТ-специалисты не додумались, или просто забыли, или просто было лень;)

Link to post
Share on other sites

USB-разъёмы может быть и вообще уберут, это достаточно логичный путь

381000[/snapback]

Логика прошлого века. Отчётность сейчас сдаётся не в виде распечаток, а в виде файлов с электронными подписями. И для этих самых подписей в большинстве случаев использование дискет удаётся обойти ()хоть это и нарушение). Это первая причина невозможности блокировки USB. А вторая - сейчас большинство системных плат выпускается с одним портом PS/2, без порта принтера LPT, да и сами принтеры в основном только с USB. Третья причина - уголовную ответственность за незаконный слив информации не отменили.

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку

380991[/snapback]

Ещё проще - для неё отдельный компьютер.

Link to post
Share on other sites

Отчётность сейчас сдаётся не в виде распечаток, а в виде файлов с электронными подписями.

381006[/snapback]

Ага, щазз. И служат не чиновники, а человекоподобные роботы. ;)

Link to post
Share on other sites

Ага, щазз. И служат не чиновники, а человекоподобные роботы.

381013[/snapback]

Не в курсе - не отрицай! В налоговую инспекцию уже несколько лет отчётность идёт только в электронном виде. В Пенсионном фонде больше десяти лет бумаги без дискет с файлами не принимают, а теперь и вообще от бумаг уходят. У нас так вообще есть ежедневная отчётность в контролирующий орган, тоже давным-давно бумажки передаются только при форс-мажоре, последний случай - это "чёрный аут" 2005 года.

И насчёт "роботов", кстати, не домысел, а вполне реальное положение дел. Обработка отчётности автоматизирована.

Link to post
Share on other sites

С налоговой-то да, не спорю, бухгалтерии в этом плане легче. А вот попробуй обычный доклад наверх без бумажки соорудить, ещё и заорут "почему не распечатал, а принёс фуфло какое-то, какая такая электронная подпись, мне перьевой ручкой с гербом где её ставить, на лбу что ли?"

 

Сорри за офф.

Link to post
Share on other sites

попробуй обычный доклад наверх без бумажки соорудить,

381016[/snapback]

Это нужно выносить в отдельную тему. Вот сюда.

Link to post
Share on other sites

Где-то еще дискеты вовсю применяются? У нас от них отказались около года назад. Выпустили новую версию стандарта предприятия на электронный документооборот. До лета 2010 года документацию полагалось сдавать в архив на дискетах. Изредка использовались также CD, но обычно хватало дискет - электронные документы "весят" немного. Сейчас же полагается сбрасывать ее в соответствующую папку по сети. Но пока это работает сыровато, в некоторых отделах сеть не развита, да и стандарт сырой, несколько распространённых ситуаций в стандарте не оговорено. Приходится пользоваться флешками. Но компьютерах, купленных летом 2010 года и позднее, флоппи-дисководов и CD-приводов нет. Так что дискеты и CD - прошлый век, флешки - современность, корпоративная сеть - недалёкое будущее...

 

В то же время, знаю предприятия, где до сих пор документы передаются только в виде бумаги, и предпринимаются попытки передавать их по сети. Т.е. эпоху дискет и CD они благополучно проскочили.

Link to post
Share on other sites

Где-то еще дискеты вовсю применяются?

381049[/snapback]

К сожалению, да.

Например, неким приказом утверждено, что некая бумага (будем считать, что это тоже некая отчётность) предоставляется в некую компанию официальным письмом с исходящим таким-то, с приложением на электронном носителе. Размер бумаги примерно 10 листов (несколько десятков Кб, максимум 100-150).В большинстве своём используются именно дискеты, диски - гораздо реже.

Link to post
Share on other sites
Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

 

Так пускай чел при поступлении на работу подписывает договор, где будет написано что и как с ним будет, если он сольёт инфу.

Link to post
Share on other sites

Надо понять, насколько у вас админы обязаны "мышей ловить".

У нас если комп виснет, тормозит - можно вызвать админа и он будет разбираться. Еслии таких вызовов каждый день вдруг станет десятки, они призадумаются.

Другое дело, что во многих конторах админы не обязаны ходить и помогать юзерам, могут с легкостью посылать их далеко и надолго.

Link to post
Share on other sites
  • 2 weeks later...

У меня на работе была такая ситуация. Действительно, почему-то Антивирус Касперского не всегда опознаёт подобные вирусы. Приходится чистить вручную или с помощью CureIt. И после появления подобных вирусов я поотключал случайно оставшийся в настройках по умолчанию автозапуск на всех компьютерах.

Link to post
Share on other sites

Касперский неидеален, как превозносится, это факт. Фактически, Касперский и Доктор Веб были равнозначными и равнопопулярными программами ровно до тех пор, как Дима пропиарил Касперского, дав ему госпремию. С тех пор он взлетел. Хотя Касперский - жулик ещё тот, ибо половину вирусов, которые ловит его антивирус, в его же лабораториях и разрабатывают...

 

К чему я сказал?

К тому, что на работе у меня стоит Доктор Веб, на основном домашнем компьютере - Касперский. Всё одинаковое. То есть программное обеспечение, ресурсы, которыми пользуюсь, флешки, диски и прочее. Примерно по 2-3 разных вируса или трояна они при сканировании обнаруживают. Проверить один компьютер двумя программами - лень.

Link to post
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...