потенциальное опасное по

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by GAiN, 14 Nov 2018.

  1. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,540
    Likes Received:
    168
    Reputations:
    99
    обнаружил на корпоративных пк вот такие файлы:
    msigmv.exe
    VermaneTester.exe
    что это за ПО такое ?
    о нём рассказывают что оно позволяет собирать инфу с пк, какие заголовки окон, какие файлы на пк открываются.
    антивирус на него не реагирует.
    https://cloud.mail.ru/public/AmEk/xtPyuZiPE
     
  2. Mumu

    Mumu Member

    Joined:
    28 Mar 2017
    Messages:
    46
    Likes Received:
    49
    Reputations:
    0
    А хотя бы одну машину пробовали изолировать и посмотреть исходящий траф? (куда и как стучится)
    Разработчик похоже "Legacy of the Spider Group. Technologies of Precursors Company".
     
    #2 Mumu, 15 Nov 2018
    Last edited: 15 Nov 2018
  3. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,540
    Likes Received:
    168
    Reputations:
    99
    Запрос ведет на сервер: \\shp385-1\d$\vermane\Log
    пк работают в домене.
    о данном сервере никто не рассказывает, что он делает и для чего.
     
  4. Mumu

    Mumu Member

    Joined:
    28 Mar 2017
    Messages:
    46
    Likes Received:
    49
    Reputations:
    0
    Судя по конторе (чьим сертификатом подписан экзешник, если только не спиженный) она занимается маркетинговой аналитикой, соответственно её тулзы могут собирать много чего. Если реально нужно разбираться, то я бы делал следующее:
    1. сделал копии тачек и сервака для дальнейшей "препарации"
    2. Выяснил (по логам тачки, по времени создания фалов и т.п.) давно ли это стоит (одновременно на все тачки или нет и т.д.)
    3. потом бы дернул админа, чтобы выяснить у него - он ставил или пользователи (за одно бы с пользователями поговорил, зачем им этот софт)
    4. параллельно бы снифал траф сервака (вдруг там есть что-то интересное, ошибочки, отсутствие проверки передаваемых данных и т.д. :) )

    P.S. один из действенных способов разобраться - это стопорнуть сервак и посмотреть, "кто прибежит" с криками "у меня не работает". :) По профилю деятельности конторы можно сразу понять, интересна ли она для "шпионажа" или нет (если нет, то тогда вряд ли это вирусня: потому что давняя дата залива 1-го семпла на вирустотал, мало инфы по нему в инете, "рядовые" бы так не заморачивались, а если контора "интересна" - то "могли заказать" и тогда совсем другой порядок действий по "расследованию").
     
  5. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,540
    Likes Received:
    168
    Reputations:
    99
    #5 GAiN, 21 Nov 2018
    Last edited: 26 Nov 2018