Заранее прошу прощения за многословный пост. Я разместил все это, потому что считаю, что это информативно и может быть полезно. Также я разместил свой вопрос в конце.
Несколько минут назад я подключился к файловому серверу у себя дома (из дома). Я открыл Firefox и поискал в Google сайт производителя. Сразу после перехода по ссылке Firefox внезапно закрылся. Мне это показалось странным, поэтому я проверил запущенные процессы и обнаружил, что работают d.exe, e.exe и f.exe.
Я погуглил эти процессы на другом компьютере и обнаружил, что они принадлежат кейлоггеру / захвату экрана / трояну под названием defender.exe, который, согласно Prevx, находится в c: \ documents and settings \ user \ local settings \ temp. (Предыдущая ссылка http://www.prevx.com/filenames/147352809685142526-X1/DEFENDER32.EXE.html)
Одновременно на сервере появилось всплывающее окно с явно подделкой брандмауэра Windows с просьбой нажать «да», чтобы обновить брандмауэр Windows.
На этот раз я завершил все мошеннические процессы, очистил временную папку, удалил defender.exe из автозагрузки и проверил свой реестр и несколько других мест. Перед удалением Defender.exe я заметил, что он был создан несколько минут назад, незадолго до того, как Firefox разбился. Я считаю, что я был «почти» заражен этим вредоносным ПО. Я считаю, что мне нужно было щелкнуть фальшивое всплывающее окно, чтобы завершить заражение, потому что ему не разрешалось выполнять процессы из временной папки. После очистки машины я перезапустил ее и наблюдал за ней более часа. Я обсуждаю, стоит ли восстанавливать раздел Windows (отдельный физический диск с данными) или просто наблюдать за ним некоторое время.
Я должен упомянуть, что из-за технических характеристик этой машины я не использую антивирусное программное обеспечение, но я хорошо его знаю и регулярно проверяю. Это очень старый Compaq с процессором 400 МГц и 512 МБ оперативной памяти. У меня статический IP-адрес, а сервер находится в демилитаризованной зоне с FTP-клиентом и некоторым программным обеспечением HTTP-сервера. Все файлы, передаваемые на этот аппарат и хранящиеся на нем, перед передачей проверяются на наличие вредоносных программ. Обычно на машине выполняется всего 19 процессов, и она хорошо работает по назначению.
Я разместил историю, чтобы вы знали о возможном новом вредоносном ПО и о том, как оно действует, но у меня также есть пара вопросов. Во-первых, за последние несколько месяцев я заметил, что PREVX находится в верхней части большинства моих поисковых запросов в Google при исследовании вредоносных программ, особенно новых или малоизвестных вредоносных программ ... и они всегда хотят, чтобы вы что-то купили. Я не думаю, что они входят в число ведущих AV-компаний, поэтому кажется странным, что они всегда занимают первое место в результатах Google. Есть ли у кого-нибудь опыт работы с какой-либо из их продукции?
Кроме того, на какие сайты вы полагаетесь при исследовании вредоносных программ? Недавно мне было трудно найти хорошую информацию из-за того, что журналы HijackThis и другая тупиковая информация загромождали мои поиски.
И, наконец, помимо антивируса, стороннего брандмауэра и т. Д., Какие настройки вы бы использовали для блокировки компьютера, чтобы сделать его более безопасным в случаях, когда такой упрямый администратор, как я, отказывается запускать AV?
Спасибо.
После того, как он создаст процесс на вашем сервере, я буду считать его взломанным. Пора перезагрузить или восстановить. Убедитесь, что все обновления настроены, и заблокируйте их.
Вы говорите, что ящик находится в DMZ и работает только с FTP-клиентом и HTTP-сервером. Вы также говорите, что файлы, передаваемые, предположительно передаваемые через FTP-клиент, сканируются. Итак, вы не прочь от AV полностью. Итак, я предполагаю, что окончательный ответ - не используйте на этой машине веб-браузер. Это самый быстрый путь к обеспечению безопасности, в котором соблюдается ряд общих принципов безопасности. prevx.com - ужасный ресурс для исследования вредоносных программ. Я бы просто избегал этого, если только вы не испытываете болезненного любопытства, работая на виртуальной машине и не любите скачивать файлы.
Запустите антивирус, пожалуйста. Даже если только один раз в неделю или один раз в месяц, когда сканер активности отключен.
Хм. Хотя я лично сейчас отказался бы иметь какое-либо отношение к Prevx из-за этических проблем. об их поведении, они являются законной компанией, занимающейся исследованиями аудио / видео и безопасностью.
Новости о вредоносном ПО: я подписан на блог websense, и я считаю, что Kaspersky и F-Secure тоже неплохи.
Что касается антивируса на этой коробке, вы не рассматривали что-то вроде Clam AV? Это может быть сканер «по запросу», который не работает все время, и вы можете просто настроить его на проверку время от времени, чтобы поддерживать вашу машину в чистоте. Если вы размещаете Windows-машину в Интернете в качестве сервера, вам действительно нужно какое-то сканирование. И не используйте его также в качестве клиента - этот сервер не может быть рутирован через браузер, если вы не используете браузер на нем.
Prevx определенно Законный. Они, вероятно, одни из самых страстных профессионалов в области безопасности. Неудивительно, что они часто являются первыми, а зачастую и единственными поставщиками средств безопасности, которые что-то знают о новых заражениях. Все дело в том, что они используют облачную технологию, используя свою теперь уже довольно значительную клиентскую базу, чтобы помочь им первыми выявлять новые инфекции. И работает блестяще. В апреле / мае журнал PC Magazine похвалил этих ребят и сделал их выбор редакции Prevx 3.0 за защиту от вредоносных программ, заняв первое или второе место почти в каждой категории. Их очистка тоже очень хорошая, а скорость сканирования потрясающая.
Если вы все еще не уверены, что любопытный, посетите форум Wilders Security http://www.wilderssecurity.com где собирается официальный форум Prevx.
Я надеюсь, что это поможет вам в вопросе, который вы задаете.
когда-либо слышал о возможном вредоносном ПО rascrypt64.dll PREVX - единственный сайт, который знает что-либо об этом ... Странно, я говорю ... ТАК, что я забрел на сайт wilderssecurity.com, который, кажется, был одним из немногих людей, которые говорят, что PREVX является законным, и проверяют для rascrypt64.dll и угадайте, что ... НИЧЕГО
Я думаю, что PREVX и WILDERSECURITY - это посуда ???? \
Я PrevxHelp из WildersSecurity, один из техников службы поддержки Prevx, которые там помогают. Мы определенно действуем законно, и если у кого-то есть какие-либо вопросы, не стесняйтесь писать в наш почтовый ящик службы поддержки клиентов или на наш форум, организованный WildersSecurity. Мы еще раз подтвердили, что ни один из наших веб-сайтов не содержит вредоносных программ, поэтому вполне вероятно, что они попали через другой вектор. Если OP все еще заражен, свяжитесь с нами и обратитесь к этой теме, и мы попросим одного из наших инженеров помочь вам лично, чтобы убедиться, что ваш компьютер полностью очищен, хотя проблема не была вызвана веб-сайтом Prevx.
Спасибо за уделенное время!
(Кроме того, что касается rascrypt64.dll, размещенного ранее, база данных Prevx знает об этом с декабря 2009 года, и это чаще всего является компонентом инфекции Vundo. WildersSecurity - это форум поддержки продуктов, и мы не пытаемся публиковать информацию о каждой угрозе (поскольку мы видим более 250 000 новых файлов каждый день), поэтому на них нет ссылок.)