У нас только что произошла вторая вспышка одного из вариантов вредоносного ПО для домашней безопасности Windows XP (вредоносные программы назвали его Trojan.fakeAlert). Ему удается убить наш антивирус (кивок 32), а затем убить попытки запустить диспетчер задач или установить Malwarebytes. Мне удалось его очистить, войдя в систему как администратор, удаленно удалив файл до его запуска и получив вредоносные байты для сканирования и удаления. Мой вопрос касается профилактики:
Итак, мой вопрос: как работает FakeAlert?! .... Я не могу найти в Интернете ничего, подробно объясняющего, как он загружается и выполняется. Кажется, он встроен в веб-страницы, а затем автоматически загружается и запускается?
Мы можем очистить его байтами вредоносного ПО (и более чем возмущены тем, что окна не мешают этим вещам устанавливать панели управления, прерывая ctrl-alt-del / ctrl-alt-esc и т. Д.), Но мы неохотно заплатить за лицензию на сайт Malwarebytes, если есть бесплатный способ ее заблокировать, но для этого нам нужно знать, как это работает (и если MBam защитит нас от этого в будущем)
Еще несколько подробностей о нашей настройке, наши клиентские машины представляют собой коробки Win XP, подключающиеся к домену AD win server 2003
Какая работа? Вы не сообщили подробностей о исполняемом файле, где он был найден, как его назвали в Malwarebytes? ... Вы находитесь в управляемой среде с AD или рабочей группой?
Единственное, что я могу сказать на основании предоставленной информации, - это ввести политику блокировки исполняемых файлов, которые не внесены в белый список. Это можно сделать через AD или дополнительные программы.
Вы также можете приобрести такую программу, как Deep Freeze, которая восстанавливает компьютер до «чистого» состояния при перезагрузке. Однако для этого требуется надзор и администрация. Это ограничит заражение только профилем пользователя, если вы используете центральный сервер для хранения профилей.
Вы ограничиваете права доступа для своих пользователей? Предупреждает ли запуск чего-то вроде защиты системы от Spybot Search and Destroy пользователей об изменениях, связанных с этим вредоносным ПО?
Используете ли вы какой-либо прокси-сервер, который может сканировать и блокировать исполняемые файлы с веб-сайтов? Какие настройки безопасности установлены в используемом вами веб-браузере? Вы используете IE с последними обновлениями? Вы пробовали использовать альтернативный веб-браузер, который может не иметь такой уязвимости? Если вы используете прокси для ведения журнала, вы даже сможете определить, откуда загружается исполняемый файл.
Вдобавок ко всему, если это бизнес, какова ваша политика в отношении просмотра веб-сайтов, не связанных с работой? Вы проверяете историю посещений инфицированных пользователей?