» антивирус, корпоративное решение (Windows)

r0n
http://www.savelovo.net.ru/28_01_2004_2.php
http://www.viruslist.com/ru/viruslist.html?id=144488783

Цитата:

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл),

Так. Ну и причем же здесь инфицированный HTML?! HTML - это размеченный текст.
Использованые элементы для запуска - ActiveX или подобные, в том числе Exploitы не отменяют решения - как только Вы приняли письмо, вирусный файл складывается отдельную папку, и, как вновь возникший, будет проверен монитором. Непосредственно ДО открытия письма пользователем. Более того, регулярное ипользование windows update резко снижает вероятность заражения. Профилактика это основное правило. Если IFRAME закачивает файл со стороны, из интернета, то тем более принятый файл при попадании на комп должен обнаруживаться монитором.

Не надо путать и давать "немного другие ссылки".
"I-Worm/Mydoom.A

Installation:
The worm is in many cases in message attachment as ZIP archive, so the user has to extract and launch it manualy. After its launching worm copies itself as taskmon.exe into System directory and registers itself as Taskmon in Run key in Windows Registry. Worm also drops backdoor component as shimgapi.dll to System directory.

Spreading: e-mail
Worm spreads by sending itself to e-mail addresses that are taken from files with WAB, PL, ADB, TBB, DBX, ASP, STL, HTM, TXT and PHP extension.

Message could be one of the following:

Sender:
Sender address is random.

Subject:
Is generated from the following words:
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi

Body:
Is generated from the following text variants:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Attachment name:

Is generated from the following words:
body
message
test
data
file
text
doc
readme
document

Attachment extension could be:

bat
cmd
exe
scr
pif

Spreading: KaZaA

Worm copies itself into KaZaA directory with following names:
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5

DoS attack:

On the 1st of February 2004 worm starts with DoS attacks on the site www.sco.com.

Removing:
Please delete infected files."
Ето Mydoom.A
"I-Worm/Mydoom.AC, .AD, .AE

Installation:
When the worm is launched it copies itself with random name to Windows System folder and registers in Run key in Windows Registry.

Spreading: e-mail
These I-Worm/Mydoom variants spreads by intresting method.

Virus doesn`t spread as mail message attachment, but it inserts hyperlink into mail message
body which points to infected computer that sent this message. When this link is opened infected computer sends specialy designed HTML code exploiting Internet Explorer vulnerability to execute virus on victim computer. This IFRAME tag fault was reported few days ago and security patch is still unavailable at the moment.

Differences between yet known variants are minimal and mainly in mail body texts.

Messge could be as following:


Sender:
Sender address is random.

Subject:
Hello!
Hey!
Hi!
funny photos :)

Body could be one from the following:

Congratulations! PayPal has successfully charged $175 to your credit
card. Your order tracking number is A866DEC0, and your item will be shipped
within three business days.
To see details please click this <link>.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by

an automated message system and the reply will not be received.

Thank you for using PayPal.

------

Hi! I am looking for new friends. I am from Miami, FL. You can see my



homepage with my last webcam photos!

------

Hi! I am looking for new friends.


My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!

------

FREE ADULT VIDEO! SIGN UP NOW!

------

Look at my homepage with my last webcam photos!"
Разницу видно???

r0n

Цитата:

Если IFRAME закачивает файл со стороны, из интернета, то тем более принятый файл при попадании на комп должен обнаруживаться монитором.

+еще, если это корпоративная почта, исходящий трфффик должен контролироваться антивирусом.
я еще раз подчеркиваю, что для исполнения вируса он должен целиком попасть на компютер. Память и диск, все новые файлы и файлы, к которым обращается система, контролируются мониторм как минимум (если не фильтруется через почтовые протоколы.
Далее, я еще раз хочу сказать, что вирусы, использующие exploitы не новость, существуют со времен 3 каспера, а Вы утверждали, что

Цитата:

А если ето новая реарканация Saser(вирус находится в теле письма, а не в атачменте)?

Ну не находиться он в теле письма без нахождения в аттачменте. Это невозможно.
То что Вы пишете, пример использования exploita, в результате выполнения которого из интернета закачиватся вирусный файл. Закаченный файл должен обнаружить и обезвредить монитор.
Если Вы имели ввиду, что в момент получения письма оно закодировано по base64 и тело вируса и текст письма составляют единое целое, то по получении оно сначала раскодируется, аттач кладется отдельно (если это настраиваемо, как в The Bat, Вы ведь The Bat обсуждаете, как я понял?). Если это аутглюк экспресс и аттач не кладется отдельно, то в момент открытия письма пользователем, вирус начинает выполняться в памяти системы, где его должен прибить монитор или не позволяет этого сделать антивирусный plug-in. После этого спокойно удаляете зараженное письмо и сжимаете папку. Проблема решена. Помимо этого, для большинства антивирусов существуют различные решения, плагины или dll, которые не позволяют вирусу выполняться в памяти или инициироваться через эксплоит. Это точно есть для Касперского (в 4.5 это плагин (plug-in) для аутлук и the Bat (а если у Вас корпоративное решение почты, то клиент обычно именно аутлук). для 5 версии проверка протоколов. Для обоих линеек библиотека avcmhk.dll для монитора. Для drWeb и Нортона, Симантека, Макафи примерно то же самое, и если вирус добавлен в базы, он вполне безопасен при наличии большинства антивирусов на компьютерах.

Добавлено
Более того, на сегодняшний день все такие эксплоиты эксплуатируются на IE-зависимых почтовых клиентах. Фирмы microsoft.

Плохо. Значит не читали одного из моих верхних постов. А именно.
1. ССылка на вирус в самом файле письма осталась. В любом случае все используемые мной антивирусы не дадут мне если не работать с базой, то заархивировать почту. Причем в просмотрщике его не будет. Опять же при сжатие папки к необходимому результату не приводит. ВИРУС видится в архиве .tbb. НЕ надо про плугины. Про 3.5 я уже выше писал. Все должно работать. Но ведь не работает.
Ps. С точки зрения теории я все ето проходил, хотелось бы услышать "не должно работать, так производитель пишет", а "работает в течении следующего срока, при следующих настройках". Хочется на пионерской теории, а практики.

Добавлено
"если вирус добавлен в базы, он вполне безопасен при наличии большинства антивирусов на компьютерах. "
зачем писать ради того чтобы писать?

r0n

Цитата:

ССылка на вирус в самом файле письма осталась

1.это эксплоит, Каспер должен его видеть при загруженных базах. Раз о нем пишут на его сайте?
2. Эксплоит выполняется в момент открытия, а не непрерывно.
3. брендмаузер есть?

Цитата:

ВИРУС видится в архиве .tbb

Удаляете инфицированное письмо и СЖИМАЕТЕ папку. Неважно, в какой программе. Тем более в Bat.

Цитата:

"не должно работать, так производитель пишет", а "работает в течении следующего срока, при следующих настройках". Хочется на пионерской теории, а практики.

Я пользуюсь The Bat! версии 3.0.2.4 Rush,
  серийный номер 57C1EA24,
  на Windows 2000 5.0 Build 2195 Service Pack 4, присланный "генератор ключей" для winRar (могу прислать) попал в почтовый архив. После его сохранения на диск (кликом по приложенному файлу и командой - сохранить файл), через день пришли антивирусные базы и Каспер закричал: Keygen.exe Инфицирован TrojanDropper.Win32.Pakes. После этого письмо с вирусом было удалено из папки и папка сжата. Плагин НЕ был подключен. Проверка архива MESSAGES.TBB без избыточного сканирования, но с проверкой всех файлов, включая архивы, почтовые базы данных и т.д. показало полное отсутствие каких либо вирусов, более того, тогда еще не стояла опция "хранить файлы отдельно от писем" - эту функцию я включил после этого случая. Я НАСТОЯТЕЛЬНО рекомендую найти инфицированное письмо и удалив его, СЖАТЬ папку. Или проблема заключается в том, что Вы не знаете, какое письмо инфицированно? Что хоть за вирус у Вас поселился в Бате?

Добавлено

Цитата:

НЕ надо про плугины.

А в чем дело? Не можете подключить?


Добавлено
Опишите возникшую проблему подробнее - версия почтовой программы, какой вирус, какой антивирус (версия и название), какие базы(если это Касперский), чем проверяли - сканером или монитором, каким образом удаляли вирус из почты, какие настройки для почтовой программы (она разделяла аттачмент и тело письма или складывала в общую кучу?)
какие действия проводили после удаления зараженного письма. Почему Вас не устраивает plug-in для The Bat? Он подключен/отключен?

Добавлено

Цитата:

Опять же при сжатие папки к необходимому результату не приводит

Значит, удалено не то письмо. Сжимание проводиться только после удаления инфицированного письма. Какая версия плагина?

Добавлено

Цитата:

Добавлено
"если вирус добавлен в базы, он вполне безопасен при наличии большинства антивирусов на компьютерах. "
зачем писать ради того чтобы писать?

Что Вас конкретно не устраивает? При включенном Касперском (или другом антивирусе) и записи в антивирусных базах у Вас заразилась система? Вирус свободно гуляет по компьютеру, инфицирует файлы, антивирус его вилит и ничего не делает? версия, настройки тип баз антивируса. Не стесняйтесь...

biomednet

1.Про плугин читай выше.

2. При чем БРАНДМАУЭР к закачки почты? Все ссылки с адресами серверов с которых может войти зараза не введеш. По умолчанию открыты 20,21,110,80. tcp порты в сеть. Да и если он будет активизировать соединение по 80 порту это ровным счетом ничего не решает.
P.s. Более расширенно отвечу на неделе.
Раб. день кончился. Пора домой.

r0n

Цитата:

Так. Давай покажи мне где я в каждом ответе ошибаюсь. Если ты етого не докажеш, то ты ТРЕПЛО и БАЛАБОЛ.

прочти 4 моих последних поста.. я там указал на твои ошибки

Добавлено
r0n

Цитата:

Интересно какая версия Kasperskogo проверяет 110 порт. 5.0? Очень интересно. Использовал версию не PRO. Проверка работала только как плугин к OUTLOOK.

все версии 5.0 от персонад до персонал про

Добавлено
biomednet

Цитата:

Для обоих линеек библиотека avcmhk.dll для монитора.

ты неправ... эта дллка никак не плугин...это честь движка отвечает за противодействие рууткитам

SXP

Цитата:

библиотека avcmhk.dll для монитора

Цитата:

существуют различные решения, плагины ИЛИ dll

Цитата:

ты неправ... эта дллка никак не плугин...

С чего Вы решили, что под монитором я подразумеваю плагин?
я имел ввиду, что некоторые АВК предоставляют информацию о способах защиты от вирусов, не более.
Кстати, просьба ко всем, замечание - не транслитерируйте. "Запрещено Использование транслита в названиях тем и сообщениях. " причем неважно, с английского на русский или наоборот.
Это относительно "плугин..." и "рууткитам". "используйте оригинальные названия" (выдержки из правил).
Пожалуйста. придерживайтесь формы обращения к собеседнику, такой, которую он использует для Вас, за исключением случаев нарушения правил. (Вы-Вы, Ты-Ты)
r0n

Цитата:

Про плугин читай выше.

Цитата:

я уже выше писал.

обычно указывают ссылку на пост.

Добавлено
[s]16:20 04-11-2004 [/s]

Цитата:

В версии 1.52 и, возможно, выше, удаление файла в атачменте в отдельной папке для атачментов
приводит в значительном числе случаев к повреждению файла индексирования архива .тби и к предложению
удалить файл индексирования .тби и созданию нового файла тби.

Очень странное событие, хотя насколько я помню, финальная версия 1.62, как с ней?
повреждения по-прежнему происходят? Я нормально удалял файлы из папки, где храняться attachment files для присланных писем в The Bat 1.61 и все нормально прокатывало, никаких ошибок не появлялось, хотя случаев прихода вирусов по почте было мало. всего около 3-4 раз, все разы монитор удалял (не лечил) приложенные файлы и the Bat .61-1.62 а так же один случай прихода вируса в 3.0.4 Rush не было замечено сообщений об ошибках или потери данных. На более старших версиях (1.54 например) не проверял.
http://forum.ru-board.com/topic.cgi?forum=8&topic=2509&start=160#6

Цитата:

Просто потому что касперски версии 3.5 плохо
справляется с маломальски современными вирусами(пропускали даже KLEZ)

По сообщению АВК Касперского, полнофункциональными являются версии начиная с 4.5

Цитата:

Это я хочу посмотреть на умника который на 233 второй пень с 128 метрами будет каспеский 4.5 ставить.

Если правильно настроить антивирус касперского версии 4.5 то серьезных тормозов не будет и на машине 233 второй пень с 128 метрами (у меня были 98 винды, ~400МГц и 64 оперативная память - тормозов не было, функция минимальной проверки - по маске -исполняемые файлы). Плагин KAV отлично подходит и совместим с 4.5 версией Kaspersky Antivirus и всеми версиями The Bat c 1.62 .

Подскажите ПОЖАЛУЙСТА, в чем дело...
При удаленной установке приложения "For Workstations" задача запускается, некоторое время работает, а потом обрубат с ошибкой - "Сбой при выполнении задачи удаленной установки: Object not found "
Kaspersky Administration Kit 5.0

Добавлено
Подскажите ПОЖАЛУЙСТА, в чем дело...
При удаленной установке приложения "For Workstations" задача запускается, некоторое время работает, а потом обрубат с ошибкой - "Сбой при выполнении задачи удаленной установки: Object not found "
Kaspersky Administration Kit 5.0

moltchan
А можно поподробнее?
Как развертываете?
Лог кинуть можете?
иожет быть дело еще и в этом
http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=3007#1
дело конечно не в Install Shield , но проблемы могут быть похожи.
Кстате, быстрее бы ответили, если бы спросить здесь
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=18365&start=1980#lt

Начал медленно внедрять NOD 32 .Хорошо идёт не тормозит систему на серваках тоже прилично сканит.. рад . советую.

От меня еще один голос за NOD32!!!!
Хороший антивирь!!!!!!!!!!!!!!
Но я его использую в связке с DRWEB....

От NOD использую монитор а DRWEB сканер

только один маленький камешек в огород NODа он Win32.Porex
большинство файлов не мог вылечить но все видел за то DRWEB
не все видел но все лечил ВОТ ТАК!!!
NOD+DRWEB самое то что нужно!!!!
Советую...

Rotten

Цитата:

Начал медленно внедрять NOD 32

Подождем результатов тестов.... а то довнедряемся....
Но, может, они исправились...

To All
Требуется:
1. Администраторская консоль.
2. Централизованное обновление баз
3. Удалённая установка.

Что из перечисленного в шапке соответствует всем запросам. Начал ковырятся но вроде некоторые имеют отдельные кусочки - вместе не интегрируются. Некоторые установка только локально - потом цепляются к серверу.

anat75
McAfee, Symantec и вроде Trend Micro подойдут. насчет остальных не уверен

Похоже Vet Anti-Virus перестал быть корпоративным антивирусом. Ссылка в шапке точно ведёт в пустоту. На сайте я нашёл только on-line антивирус (может и плохо искал).

anat75
Panda серверная соответствует. Только излишне "умная", прибивает, что ее не просят. Уже не раз навредила , зараза ...

anat75

Цитата:

To All
Требуется:
1. Администраторская консоль.
2. Централизованное обновление баз
3. Удалённая установка.

Panda AdminSecure.

Lexona

Цитата:

Panda серверная соответствует. Только излишне "умная", прибивает, что ее не просят. Уже не раз навредила , зараза ...

Ну даже не знаю чё и сказать на это. Настройки очень гибкие. Ничего лишнего не прибивает (2 года пользуюсь). Ежели надобно что-то специфическое(типа Radmin и т.п.) - см. в настройках "Исключения". Так, что - просто попроси её не прибивать то, что тебе надо.

Корпоративно использую комплекс на основе продуктов компании Eset практически два года, результаты достойные. Стабильность и эффективность в последних версиях выросла очень значительно.

anat75
Связка Kaspersky Administration Kit 5.0 + Kaspersky for WorkStation 5.0

moltchan
Цитата:

При удаленной установке приложения "For Workstations"

Агент Администрирования установлен предварительно? Синхронизация из Админкита с этой машиной есть? Спроси в топике об Kaspersky Administration Kit 5.0 http://forum.ru-board.com/topic.cgi?forum=5&topic=14929

Народ!!! Сталкнулся со следующими проблемами в Symantec 9.0.2:
1. Антивирус влияет на работу терминальных сессий и работу Citrix-клиента. Так при установленном антивирусном ПО Symantec, независимо от его настроек (вплоть до полностью остановленных служб антивируса) время установки сессии с сервером увеличивается от 3 до 20 раз, по сравнению с тем же компьютером без антивируса Symantec. В том числе на компьютере с антивирусным ПО Symantec, появляются ошибки о невозможности соединения с сервером, не смотря на нормальную работу сети.
2. ОЧЕНЬ СЕРЬЁЗНАЯ ПРОБЛЕМА!!! Логи. При 200 записях в журнале угроз (журнал о найденных вирусах) сервера (записи сервера + его клиентов) попытка посмотреть логии с консоли администратора приводит к подвисанию консоли. Как показала практика – это попытка считать эти логии, даже после 30 минут ожидания не даёт результата. При попытке просмотреть журнал угроз прямо на сервере приводит к 5-10 минутному ожиданию при 100% загрузке процессора с получением результата, но при этом потребляется 400 Мегабайт оперативной памяти и 400 Мегабайт свопа. Если это сервер не только антивирусный, но и выполняет другие задачи (а по области это терминальные сервера, файловые сервера, домен-контроллеры, почтовые Exchange сервера и т.д. и всё это на одном компьютере), то это может привести к просто отказу сервера или как минимум дискомфорту в работе пользователей. Повторный заход в журнал угроз приводит к повторному чтению журнала с загрузкой процессора под 100% на 5-10 минут. Кроме того очистить журнал в ручную от ненужных записей возможности нет. Только по установленному сроку автоматическая очистка (не забывать про требование хранить логии минимум год и получаем несколько тысяч записей в журнале и, как результат, нужен кластер для обработки этих логов?).
3. Очень критичным стало отсутствие оповещений о каких-либо сбоях в клиентском ПО (не оповещается ни администратор, ни пользователь). Зарегистрированный случай: служба антивируса останавливается с ошибкой об ошибочных базах антивируса (данная ошибка зарегистрирована на текущий момент на 3 станциях, находится в диагностике и возможно будет рассматриваться отдельно как потенциальная проблема). Сообщение об ошибке идёт только в логии системы, которые просматриваются только администратором по необходимости, при этом значок антивируса на рабочей станции своего вида не меняет. Т.е. пользователь неограниченное время работает на компьютере без работающего антивируса не зная об этом и не обращаясь, как результат, к системному администратору. У администратора такой компьютер или обозначается как работающий или просто как выключенный. Отличие от нормального компьютера с антивирусом – только невозможность его администрировать.
4. Значительное замедление открытия веб-страниц на пользовательских компьютерах, а так же 100% загрузка процессора в момент их открытия. Проблема не зависит от настроек антивируса или состояния его служб и решается только удалением антивируса с компьютера.
5. Полная блокировка сервера при остановке «Маршрутизации и удалённого доступа» при установленном симантеке.
6. Сканирование архивов монитором. В 9 версия антивируса монитор обязательно сканирует содержимое архивов, которые ему попадаются. Так архив самораспаковывающийся архив (расширение exe, что не даёт возможности выкинуть его хотя бы из сканирования по расширениям) объёмом 250 мегабайт на 10 минут фактически парализовал работу Pentium-4 2.4 GHz, 700 мегабай RAM. Возможности отменить сканирование архивов в мониторе нет. В 10 версии (была на тестировании английская пиратская версия) эта проблема решена просто: полностью выкинуто сканирование архивов из монитора без возможности его включить.

=============================================
Кто может прокоментировать? Желательно если кто-нить видел описание этих проблем на оффициальном серваке, то ссылки на них. Очень нужно

andreig

Цитата:

Кто может прокоментировать? Желательно если кто-нить видел описание этих проблем на оффициальном серваке, то ссылки на них. Очень нужно

А что тут комментировать? Его удалять надо как можно быстрее. Или у тебя при всём при этом не пропало желание его дальше юзать?

Народ подскажите!!! Свеже установленная система w2k3S - без сервис паков открыты шары, как только устанавливаю симантек (SAVCor Server 8.1) доступ к шарам закрывается т.е. сервер в сети виден с сервера можно зайти на любой компьютер, обращаясь к серверу по сети видны все шары но зайти в любую из них невозможно доступ остается только к папке "назначенные задания". После удаления антивира все
становится на свои места. Что это может быть? Как восстановить доступ
к шарам после установки антивира? Параметры безопастности и разрешения
я облизал со всех сторон но никакого эффекта не достиг

Я хотел бы высказаться все таки за F-secure... Унас 200 компов, раньше стоял AVP с централизованным управлением... пока ключик не сдох... Но и все равно работал очень глючно... Не все прикладные проги с ним дружили, а про 1С и говорить нечего... Счас уже полгода как на секьюре - и вы знаете,: пашет как надо!!! Никаких почти претензий..... Так что рек...

anat75
"Большая тройка" точно подходит. (McAfee, Symantec, Trend Micro).

Если основная проблема по deploy-ю на рабочие станции, то есть готовый solution по Trend Micro (делай раз, делай два)... Правда он весь взят из документации )))))

Подскажите какой лучше использовать антивирус для W3K3 Server SP1 Terminal&

KudisovArkan

Цитата:

Подскажите какой лучше использовать антивирус для W3K3 Server SP1 Terminal&

каждый будет хвалить тот который использует сам, тут только на собственном опыте.
у меня нормально работает McAfee VirusScan Enterprise v8.0i.

не совсем верно то что каждый хвалит то, на чем сидит.... Ведь перед этим опробуешь не один продукт... Я вот например опровал в течении 5 лет 4 продукта и остановлся на F-secure/

Цитата:

Rotten

Цитата:Начал медленно внедрять NOD 32

Подождем результатов тестов.... а то довнедряемся....
Но, может, они исправились...

ну всё счделал)) теперь nod32 как корпоративка ваще маза правда ключик на ренмоут админа только на 100 компов и до 5 октября но тоесть логов я не увижу а компы и так уже все прикручены )

Есть 25 машин, сейчас стоит SAV 10. Но я его не покупал. Сейчас хочу купить, только встал выбор между SAV 10 и Dr.Web Enterprise Suite 4.33. Что посоветуете? Может другой вариант?