Jump to content

KronaBank

Members
  • Content Count

    9
  • Joined

  • Last visited

About KronaBank

  • Rank
    Candidate
  1. Прикрепляем лог AMB и AVZ с одной из недавно пораженных машин. AMB.7z avz_log.7z
  2. Мы уже пересмотрели все логи, добавляли папки в исключение, отключали антивирус никаких результатов. Проблемы теперь были замечены и на ОС Windows 8, такие же какие и раньше наблюдалось на ХР. У некоторых пользователей исчезают все личные файлы на дисках и файлы программ расположенные в Program Files, Users и Documents and Settings
  3. Сегодня ситуация снова повторилась, были парализованы несколько машин, причем железо на всех разное! Поэтому все манипуляции с BIOS, который нам советовали, не помогают. Антивирус по прежнему ничего не обнаруживает. Заметили, что пострадавшие в большинстве своем именно машины с Windows XP Sp1 - Sp3. Какие будут еще соображения?
  4. В том то и дело, что вирусов в процессе сканирования не обнаружено! Ни утилита AVZ ни антируткит TDSSKiller ни CureIt Dr.Web ничего обнаружить не смогли, однако "странности" у нас по прежнему происходят. На этой недели вышло из строя еще несколько компьютеров, причем в большинстве это теперь машины пользователей. Мы так же заметили, что с основном это касается ОС Windows XP, а семерка и 8 пока работали без сбоев. Может быть есть у кого-нибудь идеи в каком направлении копать? если это не вирус то какие еще могут быть варианты?
  5. Лог сканирования программой MBAM и еще дополнительно просканировали с помощью TDSSKiller, логи в аттаче MMAB_log.txt TDSSKiller_log.7z
  6. Всех приветствую, знатоки! Я работаю в одном из банков и на этой недели у нас происходит никому не понятная ситуация. Парк машин: 1) пользовательские порядка 80 пк на Windows XP Sp2\Sp3 x86, Windows 7 Sp1 x86 x64, Windows 8 x86 x64 и Windows 8.1 x86 x64 2) сервера аппаратные Windows Server 2003 Standart x86, Server 2008 Standart R2 x64, Windows 2000 Sp4 большая часть виртуализирована на VmWare ESXi 5 Конфигурации Windows типовые, образы установочных ОС лицензионные. Все машины в одном домене. Установлен Kaspersky Endpoint Security 10 for Windows на каждом клиенте и на серверах, обновления ежедневные, раз в неделю полная проверка всем машин в банке, ведутся логи и карантин. Windows Update на уровне домена отключен. В течении недели столкнулись с необъяснимой проблемой. Периодически в случайном порядке сначала на серверах, а после и пользовательскиих машинах после перезагрузки на компьютерах пропадает системный файл HAL.DLL и соответственно компьютер не грузится. Делаем восстановление файлов с лицензионного установочного диска, но через какой то, скорее всего случайный промежуток времени, HALL.DLL снова удаляется. Причем в системе никаких сбоев не зафиксировано, все работает в штатном режиме. Kaspersky Endpoint Security 10 for Windows не зафиксировал никакой подозрительной активности. Так же ничего не найдено в Карантине. Из-за сбоев и потери времени на восстановление в банке была парализована вся работа, невозможно было отправить отчетность, пользователи не могли работать с банковскими системами. На некоторых машина так же отсутствовали и другие DLL из папки System32. Список мы полога ем не постоянен и меняется от машины к машине. Другие пользовательские данные затронуты не были. На ночь была проведена полная проверка серверов вашим продутом, а так же лечащей утилитой DR WEB CureIT и сканером руткитов. Ничего подозрительного или зараженного мы не нашли, однако на следующее утро ситуация повторилась и несколько машин были выведены из строя. Единственным спасением является только резервное копирование Политикой банка на пользовательских машинах запрещен доступ BIOS, отсутствуют CD приводы, закрыты USB, а у пользователей в большинстве случаев отсутствуют права локального администратора. На серверах отчетности так же установлены DeviceLock 6 и SecrertNet с замкнутой программной средой, что исключает возможность несанкционированного доступа. Но логи этих программ ничего не показали. Тем не менее каждый день в банке ситуация повторяется. Поискав в интернете не нашли схожих проблем у других пользователей, а это наталкивает на мысль , что нарвались на что то новенькое, еще не занесенное в сигнатурную базу данных. И теперь теряемся в догадках откуда могла зараза попасть в банк? Возможно ли что это целенаправленная атака? Поразмыслив с коллегами мы пришли к мнению, что можно еще предпринять что бы отследить заразу: 1) во-первых нам нужно ее как то отловить, решили настроили системный аудит на папку System32, все изменения файлов будут фиксироваться 2) решили поиграться с правами что бы запретить изменять HAL.DLL, т.е. дать права только на чтение У кого какие есть еще идеи по этом поводу? Прикрепляю лог пострадавшей машины сделанный с помощью AVZ KL_syscure.zip
  7. Всех приветствую, знатоки! Я работаю в одном из банков и на этой недели у нас происходит никому не понятная ситуация. Парк машин: 1) пользовательские порядка 80 пк на Windows XP Sp2\Sp3 x86, Windows 7 Sp1 x86 x64, Windows 8 x86 x64 и Windows 8.1 x86 x64 2) сервера аппаратные Windows Server 2003 Standart x86, Server 2008 Standart R2 x64, Windows 2000 Sp4 большая часть виртуализирована на VmWare ESXi 5 Конфигурации Windows типовые, образы установочных ОС лицензионные. Все машины в одном домене. Установлен Kaspersky Endpoint Security 10 for Windows на каждом клиенте и на серверах, обновления ежедневные, раз в неделю полная проверка всем машин в банке, ведутся логи и карантин. Windows Update на уровне домена отключен. В течении недели столкнулись с необъяснимой проблемой. Периодически в случайном порядке сначала на серверах, а после и пользовательскиих машинах после перезагрузки на компьютерах пропадает системный файл HAL.DLL и соответственно компьютер не грузится. Делаем восстановление файлов с лицензионного установочного диска, но через какой то, скорее всего случайный промежуток времени, HALL.DLL снова удаляется. Причем в системе никаких сбоев не зафиксировано, все работает в штатном режиме. Kaspersky Endpoint Security 10 for Windows не зафиксировал никакой подозрительной активности. Так же ничего не найдено в Карантине. Из-за сбоев и потери времени на восстановление в банке была парализована вся работа, невозможно было отправить отчетность, пользователи не могли работать с банковскими системами. На некоторых машина так же отсутствовали и другие DLL из папки System32. Список мы полога ем не постоянен и меняется от машины к машине. Другие пользовательские данные затронуты не были. На ночь была проведена полная проверка серверов вашим продутом, а так же лечащей утилитой DR WEB CureIT и сканером руткитов. Ничего подозрительного или зараженного мы не нашли, однако на следующее утро ситуация повторилась и несколько машин были выведены из строя. Единственным спасением является только резервное копирование Политикой банка на пользовательских машинах запрещен доступ BIOS, отсутствуют CD приводы, закрыты USB, а у пользователей в большинстве случаев отсутствуют права локального администратора. На серверах отчетности так же установлены DeviceLock 6 и SecrertNet с замкнутой программной средой, что исключает возможность несанкционированного доступа. Но логи этих программ ничего не показали. Тем не менее каждый день в банке ситуация повторяется. Поискав в интернете не нашли схожих проблем у других пользователей, а это наталкивает на мысль , что нарвались на что то новенькое, еще не занесенное в сигнатурную базу данных. И теперь теряемся в догадках откуда могла зараза попасть в банк? Возможно ли что это целенаправленная атака? Поразмыслив с коллегами мы пришли к мнению, что можно еще предпринять что бы отследить заразу: 1) во-первых нам нужно ее как то отловить, решили настроили системный аудит на папку System32, все изменения файлов будут фиксироваться 2) решили поиграться с правами что бы запретить изменять HAL.DLL, т.е. дать права только на чтение У кого какие есть еще идеи по этом поводу?
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.