Добрый день.
Подскажите как быть в данной ситуации?
Подцепили заразу написанную на LISP'е под AutoCAD.
Файлик называется acaddoc.lsp
Насколько я понял вирусу уже порядка больше года (с 2008 года)
Касперский его видит только при полной проверке системы у пользователей (что не является выходом из данной ситуации).
Файловый антивирус-монитор начнает обращать внимание на файлы с расширением .lsp, только когда включишь в настройках в закладке "Общие": Типы файлов - Все файлы
Дефолтное значение для файлового антивируса: "Файлы, проверяемые по формату"
При всех остальных режимах (файлы, проверяемые по формату, файлы проверяемые по расширению, задранная на максимум эвристика) - не приносит никаких результатов, касперский не обращает внимания на файлы с расширением .lsp
Если выставлять в настройках файлового антивируса проверять "Все файлы", то система начинает "тормозить".
Полная проверка локальных жестких дисков на компьютерах и серверах, тоже не решает проблемы, т.к. опять же в рабочее время системы "тормозят", файлы чертежей могут быть открыты с флэш-носителей.
Вирус довольно-таки серьезный, почему касперский не отнес lsp-файлы к потенциально заражаемым файлам, непонятно, т.к. вирус внедряясь в автозагруку Автокада, приводит к тому что автокад становится нерабочим (не работают многие команды)
Более того активный вирус, распространяет себя сам везде, где открывается и сохраняются черетжи dwg/dxf (будь то файловая шара, буть то локальные жесткие диски)
В итоге получаем нерботоспособность подразделиний всего предприятия, где установлен Автокад.
Как искоренить подобную заразу, как выставить дефолтные параметры для касперского чтобы и обращал внимание на .lsp и не отжирал ресурсы у системы?
Пока выставили через KAV Admin KIT - проверять все файлы, пользователи жалуются что все медленно работает.
Появление acaddoc.lsp - стал реже, но все равно наблюдается, т.е. получается что мы пока локализовали распространение угрозы, искоренить пока никак не получается.
dany2k8
: (
Возможно, как частичное решение, стоит создать задачу проверки вида:
- проверять все диски
- скипать архивы, файлы больше 1MB, файлы, проверяемые больше n секунд и т.д.
: (
Возможно, как частичное решение, стоит создать задачу проверки вида:
- проверять все диски
- скипать архивы, файлы больше 1MB, файлы, проверяемые больше n секунд и т.д.
QUOTE(dany2k8 @ 29.10.2009 12:26) 
Добрый день.
Подскажите как быть в данной ситуации?
Подцепили заразу написанную на LISP'е под AutoCAD.
Файлик называется acaddoc.lsp
Насколько я понял вирусу уже порядка больше года (с 2008 года)
Касперский его видит только при полной проверке системы у пользователей (что не является выходом из данной ситуации).
Файловый антивирус-монитор начнает обращать внимание на файлы с расширением .lsp, только когда включишь в настройках в закладке "Общие": Типы файлов - Все файлы
Дефолтное значение для файлового антивируса: "Файлы, проверяемые по формату"
При всех остальных режимах (файлы, проверяемые по формату, файлы проверяемые по расширению, задранная на максимум эвристика) - не приносит никаких результатов, касперский не обращает внимания на файлы с расширением .lsp
Если выставлять в настройках файлового антивируса проверять "Все файлы", то система начинает "тормозить".
Полная проверка локальных жестких дисков на компьютерах и серверах, тоже не решает проблемы, т.к. опять же в рабочее время системы "тормозят", файлы чертежей могут быть открыты с флэш-носителей.
Вирус довольно-таки серьезный, почему касперский не отнес lsp-файлы к потенциально заражаемым файлам, непонятно, т.к. вирус внедряясь в автозагруку Автокада, приводит к тому что автокад становится нерабочим (не работают многие команды)
Более того активный вирус, распространяет себя сам везде, где открывается и сохраняются черетжи dwg/dxf (будь то файловая шара, буть то локальные жесткие диски)
В итоге получаем нерботоспособность подразделиний всего предприятия, где установлен Автокад.
Как искоренить подобную заразу, как выставить дефолтные параметры для касперского чтобы и обращал внимание на .lsp и не отжирал ресурсы у системы?
Пока выставили через KAV Admin KIT - проверять все файлы, пользователи жалуются что все медленно работает.
Появление acaddoc.lsp - стал реже, но все равно наблюдается, т.е. получается что мы пока локализовали распространение угрозы, искоренить пока никак не получается.
Подскажите как быть в данной ситуации?
Подцепили заразу написанную на LISP'е под AutoCAD.
Файлик называется acaddoc.lsp
Насколько я понял вирусу уже порядка больше года (с 2008 года)
Касперский его видит только при полной проверке системы у пользователей (что не является выходом из данной ситуации).
Файловый антивирус-монитор начнает обращать внимание на файлы с расширением .lsp, только когда включишь в настройках в закладке "Общие": Типы файлов - Все файлы
Дефолтное значение для файлового антивируса: "Файлы, проверяемые по формату"
При всех остальных режимах (файлы, проверяемые по формату, файлы проверяемые по расширению, задранная на максимум эвристика) - не приносит никаких результатов, касперский не обращает внимания на файлы с расширением .lsp
Если выставлять в настройках файлового антивируса проверять "Все файлы", то система начинает "тормозить".
Полная проверка локальных жестких дисков на компьютерах и серверах, тоже не решает проблемы, т.к. опять же в рабочее время системы "тормозят", файлы чертежей могут быть открыты с флэш-носителей.
Вирус довольно-таки серьезный, почему касперский не отнес lsp-файлы к потенциально заражаемым файлам, непонятно, т.к. вирус внедряясь в автозагруку Автокада, приводит к тому что автокад становится нерабочим (не работают многие команды)
Более того активный вирус, распространяет себя сам везде, где открывается и сохраняются черетжи dwg/dxf (будь то файловая шара, буть то локальные жесткие диски)
В итоге получаем нерботоспособность подразделиний всего предприятия, где установлен Автокад.
Как искоренить подобную заразу, как выставить дефолтные параметры для касперского чтобы и обращал внимание на .lsp и не отжирал ресурсы у системы?
Пока выставили через KAV Admin KIT - проверять все файлы, пользователи жалуются что все медленно работает.
Появление acaddoc.lsp - стал реже, но все равно наблюдается, т.е. получается что мы пока локализовали распространение угрозы, искоренить пока никак не получается.
К сожалению принудительно добавить новое расширение файла нельзя.
lsp файлы представляют из себя текстовые модули и поэтому их пропускают по формату.
Я напишу в virlab, возможно они смогут добавить их в базы так чтобы распозновалось по формату также как vbs/js
пока советую запустить задачу проверки только lsp на каждом диске:
c:\*.lsp, d:\*.lsp и т.д.
Дополнительно обязуйте всех сотрудников проверять файлы автокада принесенные из вне или с еще не провереных компьютеров.
Флешки сканировать которые они приносят из дома.
Флешки сканировать которые они приносят из дома.
Задачу проверки вида: только lsp на каждом диске c:\*.lsp, d:\*.lsp и т.д.
Такого что-то я не нашел в KAV AdminKIT
Интерфейс для задачи сканирования таков же как и в файловом антивирусе:
- проверять все файлы
- проверять программы и документы (по содержимому)
- проверять программы и документы (по расширению)
По расширению что-либо задать нельзя.
По поводу того что бы заставить всех сотрудников проверять носители перед тем как вставить - это легче об стену разбиться (нежелание понимать технические дебри, пожилой контнгент и т.п.).
Проще кучу защит от "дураков" сделать и внести в запреты, чем что-то кому-то объяснять.
========================
Я напишу в virlab, возможно они смогут добавить их в базы так чтобы распозновалось по формату также как vbs/js
========================
Virlab до сихпор молчит, в техподе попросили меня файл выслать и все, ни слуху ни духу, ни обновленных баз.
Ладно пока до сих пор в файловом антивирусе стоИт - "проверять все файлы" (компы притормаживают)
Остатки вируса в mnl-файлах (чтоб больше не плодился) - был написан скрипт который чекает mnl-файл на определенную подстроку (та же подстрока есть в *.lsp файле) и меняет mnl-файл на оригинальный из дистрибутива.
В 12.00 начинается полное сканирование винтов, съемных носителей на компьютерах пользоватей.
На файловых шарах куда сваливаются dwg-ки - стоят скринеры на acad*.lsp
Пока касперы где-то там думают - быстрее сам все решишь и сделаешь.
Ну и напоследок:
Попробовал другие антивири с дефолтными настройками файлового монитора - открыть на чтение acaddoc.lsp, ловят влет, сразу же блокриюут (до полного сканирования дело не успевало доходить)
Я конечно не хочу грязью обливать продукцию каспреского..., сидя на другом антивире, тоже не застрахован от дня "X" но тем не менее - раздражает то, что техподдержка совсем не шевелится, уже прошло 5 дней а эффектинвых шагов никаких не предпринято со стороны Каперского....
Ну и убило то что файлы которые могут оказаться потенциально опасными - просто-напросто игнорируются файловым антивирусом..
lsp - такие же скриты, как и vbs/js - единственное отличие выполняются в среде АвтоКАД.
И вреда они могут принести не меньше чем те же "поделки" на vbs/js
Если все и так далее в таком же духе попрёт, то на следующий год возможно призадумаемся о смене антивируса.
Такого что-то я не нашел в KAV AdminKIT
Интерфейс для задачи сканирования таков же как и в файловом антивирусе:
- проверять все файлы
- проверять программы и документы (по содержимому)
- проверять программы и документы (по расширению)
По расширению что-либо задать нельзя.
По поводу того что бы заставить всех сотрудников проверять носители перед тем как вставить - это легче об стену разбиться (нежелание понимать технические дебри, пожилой контнгент и т.п.).
Проще кучу защит от "дураков" сделать и внести в запреты, чем что-то кому-то объяснять.
========================
Я напишу в virlab, возможно они смогут добавить их в базы так чтобы распозновалось по формату также как vbs/js
========================
Virlab до сихпор молчит, в техподе попросили меня файл выслать и все, ни слуху ни духу, ни обновленных баз.
Ладно пока до сих пор в файловом антивирусе стоИт - "проверять все файлы" (компы притормаживают)
Остатки вируса в mnl-файлах (чтоб больше не плодился) - был написан скрипт который чекает mnl-файл на определенную подстроку (та же подстрока есть в *.lsp файле) и меняет mnl-файл на оригинальный из дистрибутива.
В 12.00 начинается полное сканирование винтов, съемных носителей на компьютерах пользоватей.
На файловых шарах куда сваливаются dwg-ки - стоят скринеры на acad*.lsp
Пока касперы где-то там думают - быстрее сам все решишь и сделаешь.
Ну и напоследок:
Попробовал другие антивири с дефолтными настройками файлового монитора - открыть на чтение acaddoc.lsp, ловят влет, сразу же блокриюут (до полного сканирования дело не успевало доходить)
Я конечно не хочу грязью обливать продукцию каспреского..., сидя на другом антивире, тоже не застрахован от дня "X" но тем не менее - раздражает то, что техподдержка совсем не шевелится, уже прошло 5 дней а эффектинвых шагов никаких не предпринято со стороны Каперского....
Ну и убило то что файлы которые могут оказаться потенциально опасными - просто-напросто игнорируются файловым антивирусом..
lsp - такие же скриты, как и vbs/js - единственное отличие выполняются в среде АвтоКАД.
И вреда они могут принести не меньше чем те же "поделки" на vbs/js
Если все и так далее в таком же духе попрёт, то на следующий год возможно призадумаемся о смене антивируса.
QUOTE(dany2k8 @ 2.11.2009 12:59)
Задачу проверки вида: только lsp на каждом диске c:\*.lsp, d:\*.lsp и т.д.
Такого что-то я не нашел в KAV AdminKIT
Интерфейс для задачи сканирования таков же как и в файловом антивирусе:
- проверять все файлы
- проверять программы и документы (по содержимому)
- проверять программы и документы (по расширению)
По расширению что-либо задать нельзя.
...
Такого что-то я не нашел в KAV AdminKIT
Интерфейс для задачи сканирования таков же как и в файловом антивирусе:
- проверять все файлы
- проверять программы и документы (по содержимому)
- проверять программы и документы (по расширению)
По расширению что-либо задать нельзя.
...
смотрите внимательнее - в задачах сканирования можно выбирать объекты которые сканировать.
вот там в качестве объектов сканирования и нужно указать c:\*.lsp, d:\*.lsp и т.д.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.