О вящей безопасности. Очередной троянчик :)

2012-Apr-20, Friday 01:02
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
[personal profile] qkowlew
У одного из клиентов пропал с рабочего стола "Самый Важный!" Excel .xls документ со всеми контактами и телефонами. Когда он вставил в этот комп флешку, на которой лежала копия оного документа - то пропала и оная копия.

Исследование показало, что на компе был написанный на классическом .vbs вижуал басике троян, пришедший с вордовым документом в неизвестный момент времени.

Действия трояна:
- Посмотреть список Recent Files офиса и пройтись по файлам.
- в екселевском файле удаляется и создаётся заново Лист 1
- файл сохраняется (с пустым листом 1)
- такое же делается с Лист 2, потом Лист 3
- при обнаружении полностью очищенного екселевского файла он удаляется.

Что ЕЩЁ РАЗ подтверждает многократно говоримые мной слова о том, что:
Резервная копия не должна быть доступна для изменения и-или удаления теми же средствами, что основной экземпляр информации.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2012-Apr-19, Thursday 21:42 (UTC)
From: [identity profile] evgen2.livejournal.com
у мене тут давече у одного килиента в венде XP пропала напрочь сеть, я как умный вставляю вместо нутряной наружную сетевую карточку, а она на появляется в списке устройств... причем на паре других компов - откуда предположительно принесли гадость и куда еще отнесли сеть не пропадает....
Кроме того, "пропала флешка" в одной дырке... Внешне всё нормально, кондёры не вздутые

Date: 2012-Apr-20, Friday 01:06 (UTC)
From: [identity profile] nyasha-01.livejournal.com
Достаточно ли иметь лицензионный касперский со свежими обновлениями?
У меня много всего в ворде и экселе, было бы печально.

Date: 2012-Apr-20, Friday 10:29 (UTC)
From: [identity profile] qkowlew.livejournal.com
главная печаль - не конкретный троян.
главная печаль - что правильный способ резервного копирования сравнительно сложен для пользователя. Пользователю для этого обычно не хватает представлений. :(

Date: 2012-Apr-24, Tuesday 11:16 (UTC)
From: [identity profile] mindfactor.livejournal.com
Ни одни антивирус не даёт 100% гарантию защиты.
Це надо выучить как отче-наш.

Date: 2012-Apr-20, Friday 03:11 (UTC)
From: [identity profile] shadowfoto.livejournal.com
а в чем смысл троянчика, тупо "п..ц вашим документам"?

Date: 2012-Apr-20, Friday 05:39 (UTC)
From: [identity profile] qkowlew.livejournal.com
Сохранившаяся часть - тупо п...ц, ничего более.
Просто нет никакого другого кода.

Так как троян появился сильно раньше, и вообще прошло достаточно много времени к тому моменту, как я добрался до этого компа и флешки, у меня есть основания считать, что основная часть трояна отослала содержимое файлов хозяину оного. Ну а что дальше?
- то ли он намеревался слупить с узера денег за возвращение файлов
- то ли это был целевой троян, охотившийся на контактную информацию
Внешних логов, консистентных этой машине в соответствующий период времени, мне взять неоткуда, да и их анализ, как мы помним, не всегда результативен. :)
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only