Canonier
Почтовый адрес, кот. Вы указали при заполнении формы
Почтовый адрес, кот. Вы указали при заполнении формы
» Корпоративные продукты McAfee / Networks Associates (NAI) II
коллеги все таже проблема. Копал, копал и так и не раскопал. У меня Mcafee VSE 8.7 + Path1 в упор не видит один троян. Базы последние. Травлю вручную сканер на папку с трояном и тишина. Травлю на сам файлик drago.exe и тоже тишина. Хотя данный троян есть в базах и описан первый линк и второй линк. Игрался с настройками и т.п и все бестолку.
Нужен дельный совет.
Нужен дельный совет.
DommX
Спасибо, получилось.
Спасибо, получилось.
TitanMK
Интересно, можешь файлик вирусный запаковать и выложить куда нить?
Интересно, можешь файлик вирусный запаковать и выложить куда нить?
DommX
Архив с папкой и троянчиком drago.exe
попробуй....
странно как то у меня, в сети на компах ни у кого не распознает его... обновы последние, ежедневно все обновляется, стоит модуль antispyware. Пока проблему его дальнейшего распространения решил добавлением drago.exe в список unwanted programs. года 4 пользуюсь продуктами mcafee первый раз такое....
Архив с папкой и троянчиком drago.exe
попробуй....
странно как то у меня, в сети на компах ни у кого не распознает его... обновы последние, ежедневно все обновляется, стоит модуль antispyware. Пока проблему его дальнейшего распространения решил добавлением drago.exe в список unwanted programs. года 4 пользуюсь продуктами mcafee первый раз такое....
TitanMK
У меня тож не обнаруживает трояна.
У меня тож не обнаруживает трояна.
TitanMK, res2001
Есть такое дело, в Аверт лаборатории сообщили что файл не содержит известных им угроз.
Пока суть до дела советую политиками Access Protection запретить любые операции с подозрительными файлами, поcвставив в исключения сканеры mcafee/
Есть такое дело, в Аверт лаборатории сообщили что файл не содержит известных им угроз.
Пока суть до дела советую политиками Access Protection запретить любые операции с подозрительными файлами, поcвставив в исключения сканеры mcafee/
res2001
DommX
Да странно как то, троянчик то уже не новый, и давно известен всем антивирусным компаниям, как про него в макафи забыли?
я пока и в access protection забил его и в unwanted programs.
DommX
Да странно как то, троянчик то уже не новый, и давно известен всем антивирусным компаниям, как про него в макафи забыли?
я пока и в access protection забил его и в unwanted programs.
Тут анализ файла
_http://www.virustotal.com/ru/analisis/36fef91274008ecc85d6a24ba568ce365c2f826d95277223f18bb0c050d1c331-1248769685
_http://www.virustotal.com/ru/analisis/36fef91274008ecc85d6a24ba568ce365c2f826d95277223f18bb0c050d1c331-1248769685
еще один троян поймал. отправил в аверт, там тишина. ничего не обнаружили. макафи промолчал.
анализ вирус листа.
_http://www.virustotal.com/ru/analisis/edc34514842b22acbfe203753ebcfbc2f6958d7de762db6a4eccac7707385be5-1248777847
что то последнее время мне везет на нераспознаные трояны.
ужесточаю политики access protection.
анализ вирус листа.
_http://www.virustotal.com/ru/analisis/edc34514842b22acbfe203753ebcfbc2f6958d7de762db6a4eccac7707385be5-1248777847
что то последнее время мне везет на нераспознаные трояны.
ужесточаю политики access protection.
Возможно релизёр появился, надо вычислять.
К тому же второй файл похож на свежак.
К тому же второй файл похож на свежак.
интересно, а будут ли обновлены пакеты программ для еро4,5 но уже с русским языком? настроечки ведь остались на латинице. TitanMK
Час назад прислали Экстрадат для drago, в новой базе 5691 его нет, кому надо:
_http://narod.ru/disk/11393669000/extra.dat.html
Rossiyanka
Думаю будут раз уж начали, но своему обыкновению ооочень не спешно
Час назад прислали Экстрадат для drago, в новой базе 5691 его нет, кому надо:
_http://narod.ru/disk/11393669000/extra.dat.html
Rossiyanka
Думаю будут раз уж начали, но своему обыкновению ооочень не спешно
DommX
спс
да мне тоже прислали extra.dat
Что самое удивительное в 5692 тоже ничего нет ни по драго, ни по второму трояну новому. хотя я в avert все отсылал и extra.dat получил на обоих.
спс
да мне тоже прислали extra.dat
Что самое удивительное в 5692 тоже ничего нет ни по драго, ни по второму трояну новому. хотя я в avert все отсылал и extra.dat получил на обоих.
TitanMK
Как мне понимается, в экстру идёт не сигнатура вируса, а просто маска файла, может вроде MD5, чтобы антивир просто начал что-то находить. А вот сигнатура штука тоньше, видимо у них на её анализ уходит немало времени.
Как мне понимается, в экстру идёт не сигнатура вируса, а просто маска файла, может вроде MD5, чтобы антивир просто начал что-то находить. А вот сигнатура штука тоньше, видимо у них на её анализ уходит немало времени.
DommX
судя по всему так и есть.
судя по всему так и есть.
А вот интересно, а artemis у вас включен?
alexpmac
Разумеется
Разумеется
Народ, кто пробовал новый еРО 4.5 с удалнённым обработчиком применять (Agent Handler)?
Гуру вразумите неразумного..
после внедрения epo4.5 и установки агентов на всех машинах перестали сохраняться изменения конфигурации клиентов.( не показывать сообщения при обнаружении вирусама и принудительное время обновления). Как я понял это из за назначенных политик. Где их выставить? если в "Политика\правила назначенных политик" тогде вопрос другой. Политики там не создаются тк нет сервера LDAP.. подскажите как настроить LDAP и Epo 4.5 что бы можно было управлять клиентами.
Парк 40 машин. везде вин ХР сп3. Домена нет.
Epo поднят на Win 2003 Ent R2 SP2
после внедрения epo4.5 и установки агентов на всех машинах перестали сохраняться изменения конфигурации клиентов.( не показывать сообщения при обнаружении вирусама и принудительное время обновления). Как я понял это из за назначенных политик. Где их выставить? если в "Политика\правила назначенных политик" тогде вопрос другой. Политики там не создаются тк нет сервера LDAP.. подскажите как настроить LDAP и Epo 4.5 что бы можно было управлять клиентами.
Парк 40 машин. везде вин ХР сп3. Домена нет.
Epo поднят на Win 2003 Ent R2 SP2
Народ, а кто-нибудь знает, можно ли подружить McAfee DLP и почтовый клиент The Bat! чтобы запретить отправлять письма? Или для этого нужен обязательно Exchange? У нас связка MDaemon - The Bat!
Canonier
Это можно сделать с помощью политик VirusScana
Это можно сделать с помощью политик VirusScana
res2001
А причем тут VirusScan? Здесь несколько другая задача. Есть некая папка с файлами в сети, которые должны быть защищены от утечки. Стоит McAfee Data Loss Prevention (DLP). На текущий момент мне удалось добиться, чтобы ИМЕННО ЭТИ файлы нельзя было списать на ремувбл сторадж. Также в настройках DLP есть возможность настраивать правила, чтобы нельзя было отправить по почте. Так вот этого я пока добиться не могу. У меня MDaemon и The Bat! Вот вопрос - возможно ли добиться такого эффекта в моей ситуации или нужен обязательно Exchange и Outlook?
А причем тут VirusScan? Здесь несколько другая задача. Есть некая папка с файлами в сети, которые должны быть защищены от утечки. Стоит McAfee Data Loss Prevention (DLP). На текущий момент мне удалось добиться, чтобы ИМЕННО ЭТИ файлы нельзя было списать на ремувбл сторадж. Также в настройках DLP есть возможность настраивать правила, чтобы нельзя было отправить по почте. Так вот этого я пока добиться не могу. У меня MDaemon и The Bat! Вот вопрос - возможно ли добиться такого эффекта в моей ситуации или нужен обязательно Exchange и Outlook?
Canonier
The Bat уже находиться в "Enterprise Application list" и определён как "Email Client". Но для Outlook, DLP устанавливает plug-in а для Bat - нет. Поэтому единственный шанс - это попробовать применить стратегию "Explorer" к исполняемому файлу Bata.
В третьей версии DLP добавилась поддержка Notes client. A вы кстати с какой версией работаете?
The Bat уже находиться в "Enterprise Application list" и определён как "Email Client". Но для Outlook, DLP устанавливает plug-in а для Bat - нет. Поэтому единственный шанс - это попробовать применить стратегию "Explorer" к исполняемому файлу Bata.
В третьей версии DLP добавилась поддержка Notes client. A вы кстати с какой версией работаете?
Guest88
Версией DLP? 2.2.с чем-то Patch 2. А про стратегию - неприменно попробую!
Версией DLP? 2.2.с чем-то Patch 2. А про стратегию - неприменно попробую!
Medvedbpg
Правильней сказать из-за НЕ назначенных политик, если я правильно понял в чём проблема, то надо все политики заново привязать к объектам, оповещения надо скорей всего создавать заново, во всяком случае у меня они не сохранились при смене версии.
Насчёт LDAP, если домена нет, и везде винда, то и LDAP у тебя скорее всего не поднят. правила назначения политик нужны для доменной среды, и позволяют назначать политики по пользователю, а не только по машине. В общем в твоём случае этот раздел может представлять только чисто академический интерес
Правильней сказать из-за НЕ назначенных политик, если я правильно понял в чём проблема, то надо все политики заново привязать к объектам, оповещения надо скорей всего создавать заново, во всяком случае у меня они не сохранились при смене версии.
Насчёт LDAP, если домена нет, и везде винда, то и LDAP у тебя скорее всего не поднят. правила назначения политик нужны для доменной среды, и позволяют назначать политики по пользователю, а не только по машине. В общем в твоём случае этот раздел может представлять только чисто академический интерес
Guest88
А где мне добыть этот плагин к аутлуку? Я посмотрел дистрибутивы, которые мне предоставляет McAfee, там такой фишки нет. Стратегия Explorer не проканала. ((
Добавлено:
Хм, в аутлуке это просто работает!
Добавлено:
Черт возьми, опять засада!
Теперь я развязал войну с Web Post Protection Rule. Моя задача, чтобы файлы не утекли через Вэб! У нас Эксплорэр и FireFox.
В EnterpriseApplicationList они записаны "одинаково" - и тот и другой по стратегии "Editor". И тот и другой в Aplication Groups как Web Browsers.
Создал Web Destination c Any Web Destination, и Web Post Protection Rule
C Explorer`ом все работает, с FireFox все утекает! Пепец! Пробовал разные стратегии, ничего не помогает!
А где мне добыть этот плагин к аутлуку? Я посмотрел дистрибутивы, которые мне предоставляет McAfee, там такой фишки нет. Стратегия Explorer не проканала. ((
Добавлено:
Хм, в аутлуке это просто работает!
Добавлено:
Черт возьми, опять засада!
Теперь я развязал войну с Web Post Protection Rule. Моя задача, чтобы файлы не утекли через Вэб! У нас Эксплорэр и FireFox.
В EnterpriseApplicationList они записаны "одинаково" - и тот и другой по стратегии "Editor". И тот и другой в Aplication Groups как Web Browsers.
Создал Web Destination c Any Web Destination, и Web Post Protection Rule
C Explorer`ом все работает, с FireFox все утекает! Пепец! Пробовал разные стратегии, ничего не помогает!
Вопрос такой:
софт - ePo 4.0 + HIP 7
хотелка - лог коннектов по определенному порту
Что делается: создаю правило Firewall-а, в нем ставлю галочку Log
Само правило работает, но хочу увидеть лог в ePo - никак не получается, куда его логит, логит ли вообще??? при просмотре локально на тачке активити лог - нужный коннект отображается.
софт - ePo 4.0 + HIP 7
хотелка - лог коннектов по определенному порту
Что делается: создаю правило Firewall-а, в нем ставлю галочку Log
Само правило работает, но хочу увидеть лог в ePo - никак не получается, куда его логит, логит ли вообще??? при просмотре локально на тачке активити лог - нужный коннект отображается.
Цитата:
Вопрос такой:
софт - ePo 4.0 + HIP 7
хотелка - лог коннектов по определенному порту
После долгих мучений и чтения мануалов нашел для себя решение - отписываюсь, может кому-то пригодится
1. Нашел на сайте mcafee, следующую запись ( https://kc.mcafee.com/corporate/index?page=content&id=KB65559&actp=search&searchid=1233053660962): There are no Firewall blocking events sent back to ePO due to excessive bandwidth.
Таким образом мою хотелку нельзя удовлетворить через политики HIP
2. В политиках VSE - создал правило блокировки портов, которое мне надо было отследить, при необходимости можно снять блок - тогда будет разрешаться, но логиться.
Таким образом комбинацией правил фаейрвола и VSE - можно получить решение
пять дней пробился, однако....как макафи заставить удалять файлы не по внешнему, а хотябы по внутреннему имени?
эсктадат. лаборатория присылает только на вирус?
эсктадат. лаборатория присылает только на вирус?
Страницы: 123456789101112131415161718192021222324252627282930
Предыдущая тема: Не контачит VPN
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.