-
Junior Member
- Вес репутации
- 58
Чёрные порнобанеры.
Я думаю, уже все ITшники встретились с ними. У меня вопрос, извините, если всё же не в той теме, но это тоже "помогите".
Можно ли выяснить, откуда "пролез" этот банер? Просто машины стояли под антивирусником, за файерволом, поднят СУС, последние апдейты все стояли. На некоторых даже не лезли в интернет, хотя доступ был. Очень похоже на експлоит, но как быть с машинами, на которых не запускали никаких файлов. Есть машина, на которой последние дни работали только с приложениями офиса (все остальное закрыто политиками).
Если нужны какие-то файлы - специально оставил образ одной машины, зараженной вирусом. Готов предоставить любые файлы. Хочется знать, где дыра.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
undefined
уже все ITшники встретились с ними
Видимо, я не достоин этого высокого звания.
Сообщение от
undefined
последние апдейты все стояли
А если так проверить:
Выполните в AVZ скрипт ScanVuln.txt
-
-
Junior Member
- Вес репутации
- 58
Однозначно спасибо за скрипт. Но! Если я правильно понял, он просто осматривает и закрывает основные уязвимости компьютеров. Так, на рабочих машинах он нашел также несколько уязвимостей. Но откуда пролез именно чернобанер?Или же он однозначно использует одну из этих уязвимостей?
-
Сообщение от
undefined
он просто осматривает и закрывает основные уязвимости компьютеров
Он просто осматривает и указывает, что закрывать Вам требуется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
undefined
Но откуда пролез именно чернобанер?Или же он однозначно использует одну из этих уязвимостей?
Для этого надо анализировать логи установленного антивируса, лог прокси сервера и т.д. А порнобанер мог проникнуть через дыру на один компьютер, а остальные заразить через флешки.
-
-
Junior Member
- Вес репутации
- 58
Антивирус его пропустил, логи, соответственно, чисты. На файерволе тоже нет отметок, логируются только отрицательная реакция, то есть, когда пакет не был пропущен. На исе есть, конечно лог запросов, сейчас конопачусь с ним, но отличить достаточно трудно. Флехи, пожалуй, исключу, на 5 из 8 зараженных компов флехами не пользовались. (тоже политика)
-
В большинстве тем в "Помогите!" он идет с довеском в виде zlob (sdra64.exe), плюс
во многих еще и зараженные флешки присутствуют.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Скорее всего через социальные сети, кто-нить из сотрудников открыл зараженное сообщение в одноклассниках, или в контакте, ну и собственно понеслась, если локер или троянец свежачок, то скорее всего антивирь его не распознает, хотя может по эвристике распознать троянца, но вот не "хавают" антивири винлокеров, особенно свежие модификации, а от них основной гемморой, троянец может поопаснее но следов его деятельностит на глаз не видно, а то что стоят последние обновления не факт, что они помогут, в Венде достаточно дыр бывает не закрытых на момент эпидемии, или тех которые тянутся по наследству, как правило уязвимости фиксятся по вторникам, а между ними ваш комп на растерзание. А фаерволы которые вендовые в принципе можно обойти, потому что в венде они не работают на уровне ядра системы, так что замкнутый круг............
Последний раз редактировалось ph@nT()m; 04.12.2009 в 01:16.
Причина: Дополнения