Показано с 1 по 8 из 8.

Чёрные порнобанеры.

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    8
    Вес репутации
    35

    Exclamation Чёрные порнобанеры.

    Я думаю, уже все ITшники встретились с ними. У меня вопрос, извините, если всё же не в той теме, но это тоже "помогите".
    Можно ли выяснить, откуда "пролез" этот банер? Просто машины стояли под антивирусником, за файерволом, поднят СУС, последние апдейты все стояли. На некоторых даже не лезли в интернет, хотя доступ был. Очень похоже на експлоит, но как быть с машинами, на которых не запускали никаких файлов. Есть машина, на которой последние дни работали только с приложениями офиса (все остальное закрыто политиками).
    Если нужны какие-то файлы - специально оставил образ одной машины, зараженной вирусом. Готов предоставить любые файлы. Хочется знать, где дыра.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от undefined Посмотреть сообщение
    уже все ITшники встретились с ними
    Видимо, я не достоин этого высокого звания.

    Цитата Сообщение от undefined Посмотреть сообщение
    последние апдейты все стояли
    А если так проверить:
    Выполните в AVZ скрипт ScanVuln.txt

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    8
    Вес репутации
    35
    Однозначно спасибо за скрипт. Но! Если я правильно понял, он просто осматривает и закрывает основные уязвимости компьютеров. Так, на рабочих машинах он нашел также несколько уязвимостей. Но откуда пролез именно чернобанер?Или же он однозначно использует одну из этих уязвимостей?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Цитата Сообщение от undefined Посмотреть сообщение
    он просто осматривает и закрывает основные уязвимости компьютеров
    Он просто осматривает и указывает, что закрывать Вам требуется
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от undefined Посмотреть сообщение
    Но откуда пролез именно чернобанер?Или же он однозначно использует одну из этих уязвимостей?
    Для этого надо анализировать логи установленного антивируса, лог прокси сервера и т.д. А порнобанер мог проникнуть через дыру на один компьютер, а остальные заразить через флешки.

  7. #6
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    8
    Вес репутации
    35
    Антивирус его пропустил, логи, соответственно, чисты. На файерволе тоже нет отметок, логируются только отрицательная реакция, то есть, когда пакет не был пропущен. На исе есть, конечно лог запросов, сейчас конопачусь с ним, но отличить достаточно трудно. Флехи, пожалуй, исключу, на 5 из 8 зараженных компов флехами не пользовались. (тоже политика)

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В большинстве тем в "Помогите!" он идет с довеском в виде zlob (sdra64.exe), плюс
    во многих еще и зараженные флешки присутствуют.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    23.11.2009
    Сообщений
    2
    Вес репутации
    30
    Скорее всего через социальные сети, кто-нить из сотрудников открыл зараженное сообщение в одноклассниках, или в контакте, ну и собственно понеслась, если локер или троянец свежачок, то скорее всего антивирь его не распознает, хотя может по эвристике распознать троянца, но вот не "хавают" антивири винлокеров, особенно свежие модификации, а от них основной гемморой, троянец может поопаснее но следов его деятельностит на глаз не видно, а то что стоят последние обновления не факт, что они помогут, в Венде достаточно дыр бывает не закрытых на момент эпидемии, или тех которые тянутся по наследству, как правило уязвимости фиксятся по вторникам, а между ними ваш комп на растерзание. А фаерволы которые вендовые в принципе можно обойти, потому что в венде они не работают на уровне ядра системы, так что замкнутый круг............
    Последний раз редактировалось ph@nT()m; 04.12.2009 в 01:16. Причина: Дополнения

Похожие темы

  1. Порнобанеры и нетолько
    От TU-134 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 02.04.2010, 10:02

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00285 seconds with 16 queries