一般ユーザー向けのアンチウイルスを選択する際に、この点に留意する必要がありますか?
この投稿が別のホリバーに変わることを望まないでください。
著者の視点を押し付けることなく、排他的に情報。
受け取った情報は、一般ユーザーにとっても、アドバイスを求める人にとっても興味深いものになると思います。 次のVB Scriptトロイの木馬に対する対策を検出、処理、および検索するためのタイムライン。 そのような状況でのあなたの個人的な経験に非常に興味があります。
背景
私の良き友人は、後処理と写真の印刷という中小企業に従事しています。 特異性は、リムーバブルメディア上で、主に写真などのソースマテリアルが常に提供されることです。 これらのメディア上のウイルスとトロイの木馬の数は、大多数の顧客のコンピューターリテラシーのレベルについて悲しい印象を与えます。
このため、資料は、ネットワークに接続されていない専用の2台のコンピューターで受信され、最も制限された権限を持つユーザーの下で、各シフトの前に手動で更新されたウイルス対策が適用されます
金曜日の午後、レシーバーはUSB写真に奇妙な拡張子(.lnk)があることを発見しましたが、これは残念ながら彼女に警告せず、機械的にスキャンを開始しました(彼女が思ったように)が、実際には-このメディアのサブディレクトリに隠されたVBSを実行します。 最初の30分で何も起こりませんでした、そして、「奇跡」は始まりました。 次の顧客のクリーンなUSBフラッシュドライブでは、写真が転送されるサブディレクトリが表示され始め、ハードドライブの一定のアクティビティがありました。 I.t.p. 1時間後にアラームが鳴り、所有者は「友人に電話をかけ」ました。 イベントの開始から2時間後、メインの仕事の1日が終わった直後に到着しました。
予備審査
HiJackThisを使用すると、%Userprofile%\ APPDATAサブディレクトリのファイルを使用してWsscript.exeを呼び出すことにより、スクリプトがユーザーの自動起動で起動されることがわかりました。
クイックファイル検索で300 KBのVBスクリプトが返され、 難読化ツールで処理されることが判明しました。 コードは読めませんでした。
プロセスを強制終了し、このファイルを削除し、一時ディレクトリの内容を削除すると、マシンの出力が得られ、感染していないマシンのように動作しました。 感染をブロックするツールをすばやく検索すると、Sourceforgeのユーティリティが見つかりました 。 以前は、挿入された各メディアのルートにAutorun.infサブディレクトリが作成され、メディアが書き込み保護されている場合は強迫的な書き込みエラーメッセージが表示されるという望ましくない副作用により、その使用が停止されました。 使用したウイルス対策がまったく反応しなかった状況では、このような犠牲を払ってこのユーティリティの使用を開始する必要がありました。 ちなみに、彼女は後でとても役に立ちました。 状況が解決したとき。
ヒューストン、問題があります!
帰宅後、検出されたトロイの木馬を詳しく調べ、アンチウイルスベンダーのフィードバックチャネルを作品に接続する価値があると判断しました。
ファイルをVirustotalに送信すると、治療と保護のツールがあると喜んで報告されましたが、私にとってはあまり面白くありませんでした。
自宅からリクエストを繰り返しましたが、 結果は同じでした。 以前に使用されなかったウイルス対策ソフトの緊急の購入と配信-これは最も正確ではなく、最も重要なのは、効果のないソリューションでした。 聴衆、またはむしろ専門家からの助けを求めます。
よくあるアンチウイルスのリストの簡単なスケッチは、「ウイルスをXXXに送信する方法」というフレーズでGoogleのフィードバックフォームを検索します。XXXはアンチウイルスの名前です。
何が起こった:
1) DrWeb
2) マイクロソフト
3) カスペルスキー
4) ESET
5) コモド
6) マカフィー
7)MalwareBytes-クイック検索で不満が返されましたが、誤ってEmsisoftに持ち込まれました
8) シマンテック
発送自体は別の歌です。おそらく、メーカーが何らかの形で同意し、標準を受け入れることは価値があります。 OSツールを使用して感染ファイルをパックする必要がある場所、ZIPを使用する場所、単にファイルをフォームに添付する場所、電子メールで送信する場所。 シマンテックの契約番号を入力せずに送信したため、別のデッドロックが発生しました(私は勝ちませんでした)。 アーカイブにパックするとき、オプションがありました:1)パスワード、手紙の中で、1、2)感染、3)感染、4)ウイルス、5)ウイルス。
簡単な発送には約30分かかりました。 たくさん。 そして、これは単に受信者の切り捨てられたリストです。
*ちなみに、(ウイルスの合計)の分析に加えて、すべてのベンダーにサンプルを配信できるコレクターがあるかもしれません。 コメントで同様のサービスのヒントをいただければ幸いです。
最初の結果
40分後(!)、McAfeeからExtra.datファイルが添付されたメッセージと、メインウイルスデータベースへのこの追加の使用方法に関する指示へのリンクが届きました。 顧客から写真を受け取るために土曜日を逃さないオプションが現実のものになりました。
朝まで、DrWeb([drweb.com#4467210]作成者:SUBMITTED VIRUS)による雇用の確認に加えて、Kaspersky Lab([VirLabSRF] [悪意のあるファイルの分析] [M:1] [LN:RU] [L:0] [KLAN-1284347345])、ESET(アクセスは番号863467で登録されています)、Microsoft( リンク付きの文字)の返信はありません。
午前中、マカフィーを購入する前に、メールを再度確認しましたが、問題を解決し、アンチウイルス製品のファミリーのアンチウイルスデータベースに薬物治療(したがって、リアルタイム保護)を含めることについてマイクロソフトから確認がありました。 この手紙は、これまでの新しいデータベースはプレリリース状態のみであり、 ダウンロードできる場所からリンクが示されていることを強調していました。
オープニングの30分前に、私は友人に電話し、彼の最も収益性の高い曜日はキャンセルされないと言った? 更新がどのように機能するかを確認しに行きました。 通常のメカニズムでデータベースを更新しても、肯定的な結果は得られませんでした;アンチウイルスデータベースの予備バージョンのリポジトリから更新すると、問題は解決しました。 このために特別に感染したマシン上のウイルスは破壊され、以前ウイルスの影響を受けていたUSBメディアはアクセス時にクリーンアップされました。 メディア上の「隠されたシステム」から通常のものへのファイルとフォルダーの変換は受信者に示されましたが、右マウスボタンを押してファイルとフォルダーのプロパティメニューで必要な項目を選択する自動化を達成するよりも、USB-Guardで1つのボタンを押すように教える方が簡単であることが判明しました。 :-)
仕事が始まり、満足した顧客が写真を撮って印刷するようになりました。
あとがき
承認作業の開始から1時間後、ラップトップのWindows 8.1に組み込まれたウイルス対策を再度定期的に更新し、そのデータベースと作業マシンのデータベースの現在のバージョンを確認し、バージョン番号がサポートから送信されたものよりも高いことを確認し、残りを確認しましたサンプルとサンプルなしで残しました。 (ジョーク。暗号化されたアーカイブのサンプルは消えていません)処理は適切に機能し、公開データベースを使用していました。 アラームは、月曜日に職場で感染したマシンの束がついに消えることを見るということです。
写真を完成させるために、夜にVirusTotalのリクエストを繰り返しました。 結果は私を困惑させた。 一方で、マカフィーが最初に薬を投与しました(検証のためにソフォスを仮想マシンに入れなかったため、購入オプションは不要になり、1回限りのクリーニングユーティリティは1回限りのシステムチェックに6時間を要求しました-これはやり過ぎです。一方で、公共の反応速度の点で記録破りの治療法はありませんでした。残りの作業保護オプション:トレンドマイクロハウスコール-ワンタイムユーティリティから。それは新しい感染から保存されません、私の場合は解決策ではありません。私はEmsisoftからチェックしませんでした。買収の難しさ。 彼らは私たちのコンピューターを「道を渡って店」で売ることができませんでした。
合計:サンプルが提供された1日後、OS製造元の組み込みの(またはインストールが無料の)ウイルス対策保護を使用しているユーザーのみが、ユーザー側の追加の努力なしで保護されました。
コミュニティへの質問:
この抗議に対する反応の速さと、脅威がアンチウイルスベンダーデータベースのリストに追加されるのを見たシーケンスに非常に驚きました。
- これは典型的なものですか、この場合、トロイの木馬のエキゾチックな性質によるまれな例外を観察しましたか?
- アピールが1)土曜日の夜に投稿されなかった場合2)登録ユーザーから投稿された場合、何か根本的な変更はありますか?
- 変更された場合、そのような期間中に食品購入者を含むすべての人に治療法を提供しない潜在的な脅威を知って、それは正常ですか?
PS「Linux / Mac /などを使用する」などのコメントは控えてください-トレーニングスタッフのコストや機器のコスト、所有コストは別の議論のトピックです。 Windowsを選択すると、経済的に満足のいくビジネス結果が示されました。
PS2明確にするために、連絡する際に、自分が製品の登録企業ユーザーであることを示しませんでした。 1)何かが起こった場合、このチャネルを使用するために別の日が残っていました2)アンチウイルスメーカーの「外部」通話に対する反応に興味がありました
PS3コレクターvirusscan.jotti.org/en/scanresult/079f5a1684e57a806447af9109b00b1d19311f15は 、判明したとおり 、アンチウイルスデータベースの更新が非常に遅いスキャンステータスを提供します。
美しいが、非常に機能しない 
しかし、「1つの画面に侵入」:-)
しかし、「1つの画面に侵入」:-)
PS4このトロイの木馬はそれほど単純ではありませんでした。 副作用と活動のリスト