Перейти к содержанию

Dr.web нашёл пропущенный "Касперским" вирус


М.Е.

Рекомендуемые сообщения

В одной организации сложилась следующая ситуация. Некоторое время назад всем централизованно поставили Антивирус Касперского. Через какое-то время в работе некоторых компьютеров возникли некие проблемы. Решили, что вирус в корпоративной сети завёлся. "Касперский", несмотря на то, что регулярно обновлялся, ничего подозрительного не находил. Кто-то сообразил скачать утилиту Cure It! от Dr.Web и проверить ею компьютеры. И обнаружилось, что действительно есть вирусы. Прежде всего речь идёт о сомнительном файле cbzvl.exe, в котором содержится Trojan.Packed.21635. Судя по всему, эта бяка заражает людям флешки. Вставляешь чистую форматированную флешку, и она тут же на нее записывает файл autorun.inf, на который начинают ругаться антивирусы каждого компа, куда вставляешь (даже тот же Касперский).

 

Возникают три вопроса:

1. Почему лечилка от Доктора Веба находит этот вирус, а обновляемый лицензионный Касперский - нет?

2. Почему Касперский на заражённом компе не считает флешечный файл autorun.inf опасным, а на других компьютерах блокирует его?

3. (Морально-этический) Пользоваться лечилкой Доктора Веба на работе нельзя (в его лицензионном соглашении написано, что сия вещь легитимна только на домашних компах). Официальный Касперский вирус не находит. В пользовательском режиме файл cbzvl.exe не удаляется после перемещения в карантин даже Доктором Вебом (видимо, нужно тупо войти из-под админского профиля). Админский доступ есть только у товарищей из IT-отдела, которые, как теперь принято, запрещают нелицензионное ПО (времена нынче не те!). Админы не будут чистить компьютер от как бы вредных файлов без повода: официальный антивирус ведь не находит их!!! Таким образом, мы не можем им сказать про вирус, так как сразу возникнет вопрос, чем мы его нашли (если их Касперский не находит). Так вот и приходится людям работать на заразных компах и носить заразу дальше;) Если попросить их убрать автозапуск флешек, тоже пойдут вопросы, мол, а чем он вас не устраивает и т.д. (хотя видимо, это наиболее реальный ход развития событий в данных условиях). Но хотелось бы знать, можно ли избавиться от данного вируса без админских прав?

Ссылка на комментарий
Поделиться на другие сайты

В пользовательском режиме файл cbzvl.exe не удаляется после перемещения в карантин даже Доктором Вебом (видимо, нужно тупо войти из-под админского профиля)

380817[/snapback]

И это кагбе намекает. Не мог этот вирус прочно поселиться куда-нибудь в автозагрузку и блокировать Касперского сам?

Ссылка на комментарий
Поделиться на другие сайты

Почему лечилка от Доктора Веба находит этот вирус, а обновляемый лицензионный Касперский - нет?

380817[/snapback]

Потому, что идеальных антивирусов не существует. К тому же среди сволочей-вирусописателей увы, много умных, и вот по этой причине:

всем централизованно поставили Антивирус Касперского

вирус вполне может иметь самозащиту именно от "Касперского".

Админы не будут чистить компьютер от как бы вредных файлов без повода: официальный антивирус ведь не находит их!!!

380817[/snapback]

Если у них зарплата выше 20 тыс., стоит поискать других. ;)

можно ли избавиться от данного вируса без админских прав

380817[/snapback]

На этот вопрос никто, кроме ваших же системщиков, не ответит. Откуда посторонним знать, как у вас там настроены политики безопасности и права доступа?

ОФФ. Моё счастье, что имею админские права.

Ссылка на комментарий
Поделиться на другие сайты

ну а вы попользуйтесь постоянно Др. Вебом, а через полгодика прогоните системы касперским - он вам ещё больше вирусов найдёт.

Нет таких антивирусов, чтоб все вирусы видеть.

Ссылка на комментарий
Поделиться на другие сайты

Если попросить их убрать автозапуск флешек, тоже пойдут вопросы, мол, а чем он вас не устраивает и т.д. (хотя видимо, это наиболее реальный ход развития событий в данных условиях).

380817[/snapback]

 

Вот это вызывает бОльшие вопросы по поводу компетенции ИТ-службы. Трудно представить сферу деятельности компании, в которой нужен автозапуск флешек. А вот дыру в безопасности он создает. Создает дыру также вообще наличие флеш-дисководов и CD-RW, поэтому во многих местах их отключают или не устанавливают.

Ссылка на комментарий
Поделиться на другие сайты

Мое мнение как человека, ответственного за ИТ-безопасность (в качестве заместителя, но все же).

 

Пусть пользователи хоть все время сидят в контакте, порнухе, и так далее. Это их дело (ген.дир. может считать не так, но я бы его убедил, что это их дело).

 

Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

Ссылка на комментарий
Поделиться на другие сайты

Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

380989[/snapback]

Контролировать мэйл путём человека из кровавой гебни, который сидит и читает каждое письмо? Да ну бросьте.

Ссылка на комментарий
Поделиться на другие сайты

Контролировать мэйл путём человека из кровавой гебни, который сидит и читает каждое письмо? Да ну бросьте.

380990[/snapback]

 

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку, и при возникновении подозрений проверять ее.

 

Да конечно они могут сливать все это через публичные почтовики типа mail.ru. Но это запретить я не могу.

 

А использование корпоративной почты в личных целях (для слива информации, свои фотки пусть кому угодно сливают) - можно проконтролировать. Если такой запрос будет от руководства.

Ссылка на комментарий
Поделиться на другие сайты

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку, и при возникновении подозрений проверять ее.

380991[/snapback]

В тру-организациях вся исходящая почта автоматом копируется на специальный ящик, где спокойно лежит до тех пор, пока он не переполнится ;)

Ссылка на комментарий
Поделиться на другие сайты

В тру-организациях вся исходящая почта автоматом копируется на специальный ящик, где спокойно лежит до тех пор, пока он не переполнится

380992[/snapback]

 

О чем и речь...

Ссылка на комментарий
Поделиться на другие сайты

Трудно представить сферу деятельности компании, в которой нужен автозапуск флешек

В компании несколько отделов, между которыми нет сети. Документы переносятся на флешках. Со временем, когда будет создана общая сеть и когда народ научится с нею полноценно работать, USB-разъёмы может быть и вообще уберут, это достаточно логичный путь... Запретить автозапуск - видимо, просто до этого ИТ-специалисты не додумались, или просто забыли, или просто было лень;)

Ссылка на комментарий
Поделиться на другие сайты

USB-разъёмы может быть и вообще уберут, это достаточно логичный путь

381000[/snapback]

Логика прошлого века. Отчётность сейчас сдаётся не в виде распечаток, а в виде файлов с электронными подписями. И для этих самых подписей в большинстве случаев использование дискет удаётся обойти ()хоть это и нарушение). Это первая причина невозможности блокировки USB. А вторая - сейчас большинство системных плат выпускается с одним портом PS/2, без порта принтера LPT, да и сами принтеры в основном только с USB. Третья причина - уголовную ответственность за незаконный слив информации не отменили.

Можно копировать исходящую и входящую корпоративную почту сотрудников в отдельную папку

380991[/snapback]

Ещё проще - для неё отдельный компьютер.

Ссылка на комментарий
Поделиться на другие сайты

Отчётность сейчас сдаётся не в виде распечаток, а в виде файлов с электронными подписями.

381006[/snapback]

Ага, щазз. И служат не чиновники, а человекоподобные роботы. ;)

Ссылка на комментарий
Поделиться на другие сайты

Ага, щазз. И служат не чиновники, а человекоподобные роботы.

381013[/snapback]

Не в курсе - не отрицай! В налоговую инспекцию уже несколько лет отчётность идёт только в электронном виде. В Пенсионном фонде больше десяти лет бумаги без дискет с файлами не принимают, а теперь и вообще от бумаг уходят. У нас так вообще есть ежедневная отчётность в контролирующий орган, тоже давным-давно бумажки передаются только при форс-мажоре, последний случай - это "чёрный аут" 2005 года.

И насчёт "роботов", кстати, не домысел, а вполне реальное положение дел. Обработка отчётности автоматизирована.

Ссылка на комментарий
Поделиться на другие сайты

С налоговой-то да, не спорю, бухгалтерии в этом плане легче. А вот попробуй обычный доклад наверх без бумажки соорудить, ещё и заорут "почему не распечатал, а принёс фуфло какое-то, какая такая электронная подпись, мне перьевой ручкой с гербом где её ставить, на лбу что ли?"

 

Сорри за офф.

Ссылка на комментарий
Поделиться на другие сайты

попробуй обычный доклад наверх без бумажки соорудить,

381016[/snapback]

Это нужно выносить в отдельную тему. Вот сюда.

Ссылка на комментарий
Поделиться на другие сайты

Где-то еще дискеты вовсю применяются? У нас от них отказались около года назад. Выпустили новую версию стандарта предприятия на электронный документооборот. До лета 2010 года документацию полагалось сдавать в архив на дискетах. Изредка использовались также CD, но обычно хватало дискет - электронные документы "весят" немного. Сейчас же полагается сбрасывать ее в соответствующую папку по сети. Но пока это работает сыровато, в некоторых отделах сеть не развита, да и стандарт сырой, несколько распространённых ситуаций в стандарте не оговорено. Приходится пользоваться флешками. Но компьютерах, купленных летом 2010 года и позднее, флоппи-дисководов и CD-приводов нет. Так что дискеты и CD - прошлый век, флешки - современность, корпоративная сеть - недалёкое будущее...

 

В то же время, знаю предприятия, где до сих пор документы передаются только в виде бумаги, и предпринимаются попытки передавать их по сети. Т.е. эпоху дискет и CD они благополучно проскочили.

Ссылка на комментарий
Поделиться на другие сайты

Где-то еще дискеты вовсю применяются?

381049[/snapback]

К сожалению, да.

Например, неким приказом утверждено, что некая бумага (будем считать, что это тоже некая отчётность) предоставляется в некую компанию официальным письмом с исходящим таким-то, с приложением на электронном носителе. Размер бумаги примерно 10 листов (несколько десятков Кб, максимум 100-150).В большинстве своём используются именно дискеты, диски - гораздо реже.

Ссылка на комментарий
Поделиться на другие сайты

Но утечка служебной информации через флешки и прочие внешние носители, а также через электронную почту должна пресекаться. Или контролироваться, в случае с электронной почтой.

 

Так пускай чел при поступлении на работу подписывает договор, где будет написано что и как с ним будет, если он сольёт инфу.

Ссылка на комментарий
Поделиться на другие сайты

Надо понять, насколько у вас админы обязаны "мышей ловить".

У нас если комп виснет, тормозит - можно вызвать админа и он будет разбираться. Еслии таких вызовов каждый день вдруг станет десятки, они призадумаются.

Другое дело, что во многих конторах админы не обязаны ходить и помогать юзерам, могут с легкостью посылать их далеко и надолго.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

У меня на работе была такая ситуация. Действительно, почему-то Антивирус Касперского не всегда опознаёт подобные вирусы. Приходится чистить вручную или с помощью CureIt. И после появления подобных вирусов я поотключал случайно оставшийся в настройках по умолчанию автозапуск на всех компьютерах.

Ссылка на комментарий
Поделиться на другие сайты

Касперский неидеален, как превозносится, это факт. Фактически, Касперский и Доктор Веб были равнозначными и равнопопулярными программами ровно до тех пор, как Дима пропиарил Касперского, дав ему госпремию. С тех пор он взлетел. Хотя Касперский - жулик ещё тот, ибо половину вирусов, которые ловит его антивирус, в его же лабораториях и разрабатывают...

 

К чему я сказал?

К тому, что на работе у меня стоит Доктор Веб, на основном домашнем компьютере - Касперский. Всё одинаковое. То есть программное обеспечение, ресурсы, которыми пользуюсь, флешки, диски и прочее. Примерно по 2-3 разных вируса или трояна они при сканировании обнаруживают. Проверить один компьютер двумя программами - лень.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.