Sality.ag/Sector.21, боевые вести с полей

Пролог: знаю, что несколько подобных топиков(насчет Sality) уже сущевствует, но очень прошу модеров не тереть этот.

Суть вот в чем:
Я работаю сисадмином на одном очень-очень бедном бюджетном предприятии.
Соответственно, имеется:
Проводная сеть Ethernet c широкополосным доступом в инет, SMB-шара с правами на запись для обмена документами под линуксом, около 70-ти рабочих станций с приблизительной конфигурацией:
CPU 1.7-3.0 GHz одноядерники, образца 2003-2006 гг,
256-512 MB RAM,
полудохлые HDD,
Windows XP Home x86, тонко оптимизированный под слабые машины
Skype и СAV на autorun’e
ну и эпидемия Win.32/Sality.ag

По ряду причин, от меня не зависящих, Skype c автозапуска снять не могу. А также не могу купить компы помощней, мигрировать на Linux или платное антивирусное ПО, и много чего не могу. Но хватит слез, опишу проблему подробней:

Последний месяц я заметил очень нехорошую тенденцию:
Рабочие станции с последней версией Comodo/cav и последней версией баз к нему, систематически
заражаються Sality, который:

1. Выключает службу Windows COMODO Internet Security Helper Service и приводит антивирус в нерабочее состояние. Вследствие чего открывается путь прочей заразе, носимой на флешках и качаемой с интернетов. Родительский контроль не препятствует выключению вирусом службы антивируса.
2. После чего Sality пишет на все локальные диски файлики autorun.inf, со ссылкой на зараженные .exe и .pif файлы. Жрет uninstall’ы и заражает все процессы в оперативке и исполняемые файлы на компе.
3. Заражает все сетевые ресурсы с правами на запись, используя дыру безопасности Windows при обработке *.lnk файлов.

В результате долгих и тщательных исследований, я нашел причину:
сервис Windows’a COMODO Internet Security Helper Service cmdagent.exe и процесс cfp.exe стартуют только в течении 2-3 минут после загрузки рабочего стола, что обусловлено слабой системной конфигурацией, мертвыми HDD, и Skype в автозагрузке. Как правило, к этому времени нетерпеливые пользователи уже успевают заразить свой комп втыканием флешки или заходом на зараженную шару с lnk файлами.

После лечения специализированными утилитами или LiveCD ( я попробовал их около 10 штук разных) MS Office, Comodo Antivirus, а также Skype становяться не рабочими - выкидывают окно об ошибке и отправке отчета в Microsoft.

Очень прошу о помощи:
1.Переводом сего треда и осведомления с ним разработчиков Comodo. Думаю, проблему можно было бы решить разработкой preloader’a сервиса cmdagent.exe и процесса cfp.exe, подобно как это присутствует в других антивирусных решениях
2. Любых вариантах решения без “костылей”. Типо “скажи всем бабушкам на предприятии, что нужно ждать 5 минут после включения компа, перед тем как тыкать флешку или начинать работать с документами”.

Извиняюсь за плохой тон, и за то, что много текста.

Душа очень наболела из-за постоянной беготни и переустановки вышеуказанных приложений.

P.S. Sandbox и проактивную защиту я отключаю по причине низкой производительности и несовместимости с разными приложениями. Сканер по сигнатурам работает “По доступу” или в “Кумулятивный”. Автоудаление угроз активировано, сканирование памяти при старте тоже активировано.

Это, позвольте поинтересоваться, в каких “других”? ??? Комодо очень выгодно отличается от подавляющего большинства других средств как раз тем, что политика безопасности контролируется драйвером, уже задолго до запуска подсистемы. Для “серьёзных” случаев есть галка “блокировать неизвестные запросы, если не запущен ГУИ”, но Вы же сами:

Sandbox и проактивную защиту я отключаю...

И оставляете только антивирус, который будучи для CIS вещью [u]весьма вспомогательной[/u] реализован в службе. Ну песочница, ладно, на любителя, но проактивку включайте и про салити забудете.

про проактивку знаю. но! к сожалению, она блочит “БЕСТ-ЗВІТ” станція и Adobe Reader X даже(!) если добавить их в исключения. что в моем случае очень и очень критично.

Это, позвольте поинтересоваться, в каких “других”?
Не хочу получить бан за рекламу. Но скажу проще, проще перечислить, в каких их нет.
Но по ряду причин(копирайт и ресурсоемкость) их использовать мне нельзя.
насколько я помню, в них preloader реализован подменой системной dll винды

В чём выражается “блочит”? Нескажу насчёт БЕСТа, но что не работает акробат - фантастика. Сейчас даже проверю специально.

акробат работает. но работает так, будто его запустили на 80386 процике

Это совсем фантастика. Defense+ вообще не заметно даже на совсем старых машинах. А ~2-3 ГГц и полгига для комодо просто очень нормально. Надо искать причину.

Да причем здесь бан, Вы рассказали про такую штуку, которую я лично вообще нигде не видел, хотя специально этот вопрос изучал. Конечно не на всех существующих в природе продуктах, но всё же, потому и интересно, что я пропустил. Тем более такой способ как “подмена системной библиотеки”, вообще может “плохо кончиться”.

Adobe Reader X - это само по себе жуткое изделие. Не знаю почему, но у меня оно затормозило на довольно мощном компе так, что хоть на стенку лезь. Снёс моментально.

Поставьте свободный Evince, этот просмотрщик ничуть не хуже, под Linux только им и пользуюсь. Он свободный, о копирайтах беспокоиться не надо. И под винду его более менее допилили. Или хотя бы откатитесь на Adobe Reader 9.4.

CIS вам не поможет… Sality/Sector не троян, а настоящий вирус! Лечение зараженного компьютера с помощью CIS может выпилить половину системы, но проблему не решить, поскольку лечить файлы CIS не умеет, насколько мне известно, только удалять! Решение проблемы - использование бесплатной утилиты от Касперского Бесплатные утилиты для лечения на зараженной машине (не сочтите за рекламу, сам пользовался не однократно). Насколько корректно будет работать данная утилита при уставленном CIS я не знаю, на мой взгляд на время лечения его стоит полностью отключить.

С заразой в шарах можно реально бороться с помощью установки соответствующих прав (создание пустых autorun.inf и запрета записи в них) и отключением автозапуска в Windows (против флешек самое оно).
В конфиге самбы кстати есть замечательные директивы veto files и delete veto files

2 floriani
спасибо за дельный совет.
вообще-то acrobat я использую только потому, что техотделу нужна печать брошюрами, а большинство древних принтеров не поддерживает этой возможности на уровне драйвера.

2 goldman
CIS как раз помогает. но! до того как вирус заразит систему. я, в принципе, не против, чтоб у юзера пару екзешников с флешки переместилось в карантин. но 2-3 минуты до запуска самого антивиря добавляют мне работы.
salitykiller и/или аналогичные утилиты от eset и avg, конечно, очень меня спасают. но, как я упоминал выше, после лечения ними, Сomodo, Skype и MS Office теряют работоспособность.
поэтому процедура лечения для меня заключается в прогонке салити киллера(что при наличии точек восстановления системы и файлов в карантине антивиря занимает часика эдак три), и переустановке высшеуказанного ПО(40 мин-час).
потом меня зовут на тот же комп через несколько дней… и повторяй сначала.
в итоге: я злой, юзеры теряют драгоценный час, и ощущения как у белки в колесе.

вся комедия в том, что этот червь не создает на шарах авторанов. он их создает на локальных дисках. на шарах он создает инфицированные *.tmp и *.lnk файлы, изпользующие дыру в винде . я уж подумывал написать cron - скрипт для “запрета” высшеуказанных файлов… но при текущем уровне загруженности работой не представляю себе это возможным.

Понятно…

Мой тебе совет - не изобретай велосипед Про шары самбы я сказал выше…
Что касается Windows - то у вас я так понял преобладают Home Edition, готов поспорить что 100% юзеров у вас работаю из под админской учетки - это не есть хорошо!

Необходимо усилить защиту (я отлично понимаю насколько банально звучит написанное ниже):

1. Полное отключение автозапуска на машинах (через службу Сdrom)
2. Обновление Windows до последних сервиспаков + исправления
3. По возможности переход на работу под ограниченными учетками + пароли всем, с целью упрощения жизни юзверям - автовход в систему…
   В Home Edition правами можно рулить с помощью команды cacls. Других вариантов не вижу…

ЗЫЖ К сожалению не знаю как CIS работает под ограниченной учеткой в Windows XP…

везде стоит SP3 с самыми новыми заплатками. проблема в том, что мелкософт не считает себя обязанным фиксить дыру при обработке lnk файлов, так как оффициальный срок поддержки ХРюшки давно истек.

ограниченные учетки увеличивают скорость при развертывании и поддержке работоспособности системы(что при таком количестве рабочих станций и полумертвом железе критично), вирусам(т.к. они в основном изпользуют уязвимости в ядре на низком уровне) же ограниченность учетки побоку. имхо, даже с групповой политикой, а особенно без нее.

XP Home - из-за прижимистого руководства, и моего предшественника, который закупил этого дела впрок.

за совет с самбой большое спасибо. прийду на работу в понедельник и обязательно его использую. и наваяю батник для отлючения авторанов. удивляюсь, как самому в голову эта мысль не пришла.

насчет же CIS под ограниченной учеткой я более, чем уверен, что все зашибись. проверено практикой. видимо, потому, что как упоминал человек выше, CIS работает не на "пользовательском уровне, а на уровне драйверов/служб.

При активированной и настроенной проактивной защите

этого просто не сможет сделать. Я заражал Win.32/Sality компьютер с CIS 3.x без антивируса. При активированной и настроенной проактивной защите с настройками закрытыми паролем + настроенные политики ограниченного использования програм Sality ничего не смог сделать. Правда когда я убрал пароль и на первые алерты сказал “добро” - далее CIS уже оказался безсилен, в чем я его и не обвиняю. Win.32/Sality - это потоп после пожара.

CIS 3.x без антивируса использую на работе до сих пор как раз по причине низких аппаратных возможностей. Меня интерисует только проактивная защита Comodo и файервол. В низкой производительности компьютера при использовании проактивной защиты я сомневаюсь. Впрочем за последние версии ничего сказать не могу, а в старых версиях как раз было наоборот - настроенную проактивную защиту при закрытом GUI Comodo вообще не видно, а антивирус очень даже ощущался.

Проактивная защита реализована на уровне драйвера и начинает работать еще до загрузки cmdagent.exe и cfp.exe - ВКЛЮЧИТЕ.

По поводу производительности я уже говорил, а вопросы несовместимости надо решать

дело в том, что CIS пользую не я ;D
а далекие от компьютера тети и бабушки.
им-то любые алерты в принципе неприемлемы. нужно чтоб антивирь все тихо блочил и тер. и не разрешал залезть очумелыми ручонками ( с этим антивирусный модуль успешно справляется).
иначе как ты объяснишь сему человеку, который так и ждет, чтоб на тебя кляузу руководству накатать, когда при нажатии кнопки “Разрешить” комп заражаеться, а “Запретить” - нужная прога не запускаеться.
Не кляуза, так сразу по внутреннему телефону звонит, чтоб я пришел и сам нажал, ибо “он не шарит”

Проактивкой я уже сыт по горло. До меня один предшественник юзал нод32, для которого салити не был проблемой, но пришла проверка и поимела все предприятие за нарушение авторских прав по 50 баков за 1 год, в расчете на 70 раб станций.
Другой предшественник, после него, юзал Spyware Terminator в связке с WinClamAVShield. Алерты замахивали абсолютно всех, после чего салити просто съел СlamAV. А дядю выкинули на мороз “за несоответствие занимаемой должности”.
вот такие дела.

итак, план действий таков:

1. Врубаю проактивку, ставлю в исключения CIS папку Program Files.
2. Конфигурирую самбу на NAS.
3. Запускаю на рабочих станциях батник, выключающий autorun.
4. Reader X сношу, откатываюсь до версии 9.
5. Пью литр пива.

Им вообще не нужно показывать алерты (род. контроль). Можно даже вообще ГУИ не запускать. Настроить один раз, чтобы всё работало, и на замок.

Нет. Неправильный план. Ищите причину тормозов. Defense+ в CIS не тормозит. В принципе. 3-я/4-я версия прекрасно работали на P3-500/256мег. Ваши конфигурации заведомо достаточны.

Проактивная защита в режиме “Чистый ПК” никаких вопросов не задает, считая все установленное ПО доверенным. Поэтому лучше проверить компьютер с Live CD и убедившись в том, что он действительно чистый, включить проактивку, перевести в режим “Чистый ПК” и включить “Родительский контроль” скрыв сообщения проактивки. Батник, выключающий autorun это хорошо, к тому же проактивкой можно вообще запретить создание autorun.inf (и *.lnk сделать защищенными). Ставить в исключения CIS папку Program Files я бы не стал, так как в режиме кумулятивного сканирования антивирус не проверяет, то что не менялось с последнего обновления баз. Впрочем, проактивка все равно не даст ничему новому из Program Files (и не только) без спроса запуститься. По поводу Reader X и печати буклетов посмотрите __Tracker Software Products :: PDF-XChange Editor. Но задаваясь вопросом “а откуда вообще в Program Files могут взятся левые файлы” меня начинает терзать смутное подозрение что пользователям разрешается устанавливать програмное обеспечение и запускать программы из мест отличных от %ProgramFiles% и %SystemRoot%, например, с флешек. В этом случае сочуствую, пива вам не пить ;D и приемлемой защиты не добиться, ибо самое слабое ее место это пользователь, который “так и ждет, чтоб на тебя кляузу руководству накатать” и воздействовать на него не возможно.

2 ntoskrnl

Им вообще не нужно показывать алерты (род. контроль).
эту функцию я знаю и пользую.

но как проактивка может принять решение о вредности/полезности неизвестной программы, если только не узнав от пользователя алертом? по цифровой подписи поставщика?. а вот фиг.

на компах стоит куча неподписанного софта или настолько специфичного для Украины, что Comodo о нем и слыхом не слыхивал (проактивке просто не с чем сравнивать эти подписи).

Именно поэтому я и написал, “Настроить один раз, чтобы всё работало, и на замок.” Да, один раз нужно будет потратить время, зато потом пиво можно будет пить кегами Особенно, если все компы содержат более-менее одинаковые наборы. И не так важно, есть подписи или нет, Вы же будете изначально определять что запускать, а что нет.

1 x 70 раз.
думаю, после сего действа пива пить не захочется.
думаю, есть смысл использовать импорт файла конфигурации.
но все равно, геморрой будет просто дикий=)

VladMC, это уже Вам решать, геморроиться раз в неделю с салити (не считая всё остальное, поскольку сейчас у Вас выключено практически всё из защитных механизмов), или провозиться один раз пусть даже неделю, но потом с хитрым видом раскладывать косынку. Насчёт файла конфига, ну если все машины аналогичны по файлам, то, может быть и так.