Особенности настройки антивируса ESET

[grumbler_eburg]

Пишу эту заметку, потому что у одного клиента очередной сотрудник в очередной раз получил письмо с троянским скриптом и ничтоже сумняшеся открыл файл двойным кликом мышки. Имя файла (в "почте mail.ru"): "Протокол соглашения №87.js

Comments

[nik_mgn]

Подобное письмо пришло пользователю 2 часа назад.
Проверил. Eset Endpoint Antivirus 5.0.2237.1 - оптимизация смарт выключена. Не детектится.
колега проверил AVG не детектится.
У меня подобное блочится настройками почтовых клиентов.

[nik_mgn]

Хочешь - тебе перешлю, может это какая то модификация?

[grumbler_eburg]

Давай. А то я попытался сохранить файл с сайта mail.ru, но сохранился только HTML.

[nik_mgn]

почту скажи

[nik_mgn]

Заинтересовал ты меня кароч.
Закинул скрипт в песочницу, начал эксперименты.
Сам скрипт есетом не детектится.
То что он пытается запустить после того как ты его активировал - детектится и со включеным смарт сенсом и без оного.
После одного подобного случая (пользователь потерял все документы) я ужесточил политики почтового клиента - тоесть полностью запретил пользователю запускать исполняемые файлы и скрипты.
От макросов в документах это конечно не поможет но хоть что то.
Ну и поднял систему централизованую систему бэкапа на клиентах (раньше ток сервера и виртуалки бэкапились).
Ну и письмо по организации ушло, о том чтоб не запускали чего не надо.
Вот сегодня как раз и был случай - звонит пользователь говорит письмо пришло а вложение не открывается ))) так что этот комплекс мер сработал.

[grumbler_eburg]

В доменных сетях я сделал интереснее: средствами SEP запретил запуск всех программ из временных каталогов (профилей пользователей и системного).
Дополнительный профит - отсекаются всякие тулбары, "браузеры" и т. п. рекламный мусор.

В сетях без домена это сделать сложнее, а , главное, разрешать запуск нужных программ слишком затратно по времени.

Если будешь применять SEP, обрати внимание, что JS там по умолчанию отсутствует в списке "расширения исполняемых файлов".

[nik_mgn]

Ну симантеквского антивируса (а SEP это как я понимаю их Endpoint Protection) у меня нет. Поэтому приходится другими методами бороться.

[grumbler_eburg]

Я сделал опечатку. Правильно - SRP, в русской версии - "политика ограниченного использования программ"

[abramoffserega]

Хм, техподдержка у ESET всегда была на хорошем уровне работы была, у нас ребята на работе время от времени туда звонят (у нас корпоративная поддержка от вендора). Насчет подобных настроек не могу ничего сказать, столь печальных случаев конкретно с файлкодерами у нас не было, но вполне возможно, что таковая настройка влияет только на обнаружение заразы формата js, но ограничивает другие функции? А вообще знаю, что они берутся на расшифровку битых файлов и по факту были удачные разрешения этой проблемы. Правда, у физлиц, но все же. Если свяжетесь по этому вопросу с их техподдержкой нвапрямую, напишите, будьте добры, что они ответили. Вот тут их все контакты есть https://www.esetnod32.ru/support/overview/

[grumbler_eburg]

Я достаточно регулярно общаюсь с техподдержкой ESET. Более того, я консультирую одного из их дилеров.
Запрос в техподдерку составляю каждый раз с подробным описанием инцидента, с описанием алгоритма работы трояна и прилагаю исходный скрипт и его рабочие файлы в архиве.
Несмотря на это, на каждое обращение я получаю стандартный ответ, начинающийся со слов "1. Пришлите несколько образцов", а в конце переписки - "Мы получили ответ от вирусной лаборатории, что подобрать дешифратор для данного алгоритма, используемого данным шифратором, увы не осуществимо."

> вполне возможно, что таковая настройка влияет только на обнаружение заразы формата js, но ограничивает другие функции?

Включение "Оптимизация Smart" ускоряет проверку (т. е. с ней антивирус вносит меньшие задержки в системные вызовы). Тут, как это уже стало типичным, выбираем между защитой и скоростью. (Хотя задержка даже с отключенной оптимизацией, у ESET меньше, чем у Касперского.)