[chek]

Цитата Gangabass:

установлен KIS

у каждого пользователя??

[Blast]

Цитата Gangabass:

при проверке диска выясняется, что утановлен троян

в кокой папке обнаруживается файл вируса?

[ShaddyR]

Gangabass, а чему Вы удивляетесь, уважаемый? Трояны - это вообще отдельный вид вирусов, на который не все защиты реагируют адекватно. И потом: обычно появление вируса опережает появление его сигнатуры в базе программы.. я уже молчу о несвоевременном обновлении этих самых баз (если не ошибаюсь, минимальный промежуток обновления баз - 1 час... за этот час новый вирус, не найденый вовремя анализатором сигнатур, может положить на колени не только Ваш компьютер, а и всю сеть.. да еще друзям по почте\аське приветы передать). Так что ИМХО ничего удивительного в этом нет

перенес тему в соответствующий раздел конференции.

[Gangabass]

Цитата Blast:

в кокой папке обнаруживается файл вируса?

Во временных файлах IE и установленный троян в корне диска C:\. Т. е. как я понимаю заражение происходит при посещении сайта.
Только никак не могу понять почему это пропускает KIS и как вирус использует пропатченный браузер.

Цитата chek:

у каждого пользователя?? >>>

Да, у каждого.
Базы обновляются каждый день автоматически.

Цитата ShaddyR:

И потом: обычно появление вируса опережает появление его сигнатуры в базе программы.. я уже молчу о несвоевременном обновлении этих самых баз (если не ошибаюсь, минимальный промежуток обновления баз - 1 час... за этот час новый вирус, не найденый вовремя анализатором сигнатур, может положить на колени не только Ваш компьютер, а и всю сеть.. >>>

Это всё понятно, но:
1) что-то мне подсказывает что это не самый свежий вирус/троян;
2) как всё таки он умудряется запустится? ведь браузер пропатчен и по идее не должен выполнять зловредный код.

[ShaddyR]

Цитата Gangabass:

ведь браузер пропатчен и по идее не должен выполнять зловредный код >>>

я не программер давно.. но могу предположить, что этот код таким уж зловредным бровзеру не кажется.

Вообще, если речь идет о компьютерной безопасности, здесь нужен комплексный подход. И учитывать нужно достаточно много: от набора программ до их версий. Пример: терминальный сервер живет под защитой NOD32+Outpost, контроллируется сканером CureIt от DrWeb. Локальная машина сидит под связкой KAV5.676+Outpost, с тем же контролем.

[Gangabass]

На всякий случай приведу лог Kaspersky Internet Security:

Цитата:

обнаружено: троянская программа Trojan-Downloader.JS.Agent.jn URL: http://www.bobo32.org/o0o/exp/ удалено: троянская программа Trojan-Downloader.JS.Agent.jn Файл: C:\Documents and Settings\oper2\Local Settings\Temporary Internet Files\Content.IE5\8DK1MBW9\exp[1].htm обнаружено: вредоносная программа Exploit.HTML.IESlice.c URL: http://hitstat.ru/sm/qtime.html не найдено: вирус Worm.Win32.Feebs.kp Файл: C:\q//UPack удалено: вирус Worm.Win32.Feebs.gen Почтовое вложение: [From:"Root" <root@oil.chita.ru>][Subject:X XXXXXXXXX XXXXXXXX XXXXXXX][Time:2007/07/26 13:51:54]\message.zip/sjnxhzka.hta удалено: вирус Worm.Win32.Feebs.kp Файл: C:\WINDOWS\system32\msta32.dll//UPack удалено: вирус Worm.Win32.Feebs.kp Файл: C:\System Volume Information\_restore{2FCE61FA-FFBF-4FDD-89AC-67BD5E359A73}\RP327\A0035234.dll//UPack удалено: троянская программа Trojan-Clicker.HTML.IFrame.n Файл: C:\Documents and Settings\oper2\Local Settings\Temporary Internet Files\Content.IE5\S9WBGNOV\komlider.hotbox[1].htm

[Greyman]

Цитата Gangabass:

как всё таки он умудряется запустится? ведь браузер пропатчен и по идее не должен выполнять зловредный код.

Обнавления безопасности устраняют далеко не все потенциальные угрозы. Дело в том, что при использовании активного содержания страниц (java, VBA, ActiveX) возможны вредоносные действия даже на пропатченной системе. Большинство антивирусов проверяют файлы уже только при обращении к ним на локальном винчестере, а здесь они загружаются из интернета и успевают выполнить вредоносные действия еще до действия антивирусного ядра. решение - использование файрвола с блокировкой активного содерджания для всех сайтов, кроме исключений (как вариант, можно пользоваться соответствующими функциями браузера, но этот способ менее универсален, т. к. привязан к конкретному браузеру). Другой вариант - использование антивируса в позможностью проверки интернет-трафика (конкретным перечнем с такой функциией еще не занимался). Без проверки интернет0трафика антивирус реагирует на угрозу уже после потенциального заражения, когда вирус мог уже прописаться в памяти (а при вариаете с руткитом антивирус его не обнаружит и после записи на диск). Способы выявления угроз у антивирусов тоже постепенно устаревают и они регулярно обновляют свои ядра в погоне за вирусами, поэтому кроме обновления баз нельзя забывать и об обновлении/переходе на более свежие версии. Также такая функция, как кэш в памяти, тоже способствует заражению, т. к. вирус может сравнительно долгое время находиться в памяти, до записи его на диск и обнаружения заражения антивирусом.

[Alexander_Grig]

Gangabass
Я и сам столнулся с тем, что периодически в корне диска С, а также иногда на рабочем столе появлялись левые файлы небольшого размера. Это происходило как дома (редко, но случалось, т.к. не я один компьютером пользуюсь), так и на работе у пользователей. При этом стоит NOD32 и Oupost Firewall. Если Зараза начинала лезть в сеть или проявлять другую активность, то один из них сообщали об этом и гад прибивался. Если же активности не наблюдалось, то при сканировании NOD32 не сообщал о проблеме. Зато при сканировании бесплатным AVS этот файл сразу определялся, как троян.
Раньше пользовался исключительно IE и считал, что его вполне хватает для всего, если бы не указанная проблема. В качестве эксперимента решил поставить другие интернет-обозреватели (opera и mozilla firefox). За последние месяца 3-4 больше проскакивания троянов не наблюдалось. Параллельно еще поставил бесплатный AVS (немного урезанный касперский), и запускаю его раз в месяц в ручном режиме, чтобы убедиться, что ничего не проскочило.
Вроде проблема исчезла.

[Samsonov]

Ну, не все заражённые файлы, которые антивирусный сканер найдёт при проверке на диске, являются «установленными» троянами. Допустим, юзер заходит на порносайт, где используются злонамеренные js-файлы. Эти файлы успешно сохраняются на диск, даже выполняются, но браузер от них не заражается, если не содержит уязвимости, эксплуатируемой этими троянцами. Однако при проверке диска любой антивирус будет истошно вопить об обнаружении кучи троянских программ.

То же самое и с почтовыми вложениями.

Хотя, конечно, появление инфицированных файлов в корне диска или системных каталогах, если вы намеренно их туда не сохраняли, скачивая что-нибудь с сайта, — повод для беспокойства. Может, сделать запрет на запись в служебные каталоги, если это позволяет конфигурация пользовательских компьютеров?