Jump to content
Simaticov

Об массовом обнаружении вирусов в ПО Сименса

Recommended Posts

Сегодня КИС2016 удалил Siemens WinCC Flexible 2008 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")

f0d8c8bb0e0dt.jpg

 

Ранее "вирус" был обнаружен в Siemens WinCC 6.0 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")

Вот такой конфуз "обнаружился" через 10 лет

e201924e5b89t.jpg

Извиняюсь за тень на русский плетень... руссификатор чист - этих файлов в нём не было.

Вирус детектируется в оригинальных файлах WinCC 6.0 SP4... отправил запрос в ЛК.

 

Ответ техподдержки

07/28/2015 [13:11]

Ложное детектирование уже исправлено. Пожалуйста, обновите антивирусные базы.

Если проблема сохранится, пожалуйста, пришлите скриншоты детектируемых файлов.

 

Благодарим за понимание и сотрудничество, приносим извинения за доставленные неудобства.

 

Ложная тревога в установщике Siemens WinCC DTM

24.08.2015 15.26.24;Обнаруженный объект (файл) не обработан.;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;not-a-virus:HEUR:AdWare.Win32.Agent.gen;Рекламная программа;08/24/2015 15:26:24

Ответ техподдержки

08/30/2015 [14:54]

Приносим извинения за длительное время обработки вашего запроса.

 

Это было ошибочное срабатывание.

Оно будет исправлено.

Благодарим Вас за помощь.

 

Я понимаю, что против Касперского начата информационная война и кто-то целенаправленно заносит сигнатуры программного обеспечения для промышленной автоматики в базы Касперского...

но с этим надо что то делать, иначе могут пострадать промышленные объекты...

Как никак но в Readme на некоторые продукты Сименса заявлена полная совместимость с антивирусом Касперского.

Просьба к соответствующим работникам Сименса и Лабораториии Касперского наладить контакт для добавления ПО Сименса в разряд неудаляемого и проверенного.

Сам пересылать гигабайты ПО Сименса в принципе могу... так как рутрекер загнобили вчера и оттуда вам его не скачать :(

Не знаю куда обращаться с такой глобальнейшей проблемой :dash1: Перешлите сообщение Гостеву - он вроде в этом направлении Stuxnet'ы ещё копает.

Edited by Simaticov

Share this post


Link to post

бывает. это я про ложные срабатывания.

раз файл автоматически удален, то пользователь может исправить ошибку автоматики вручную.

Папку C:\Program Files (x86)\Siemens\ занесите в Исключения

post-328408-1441526105_thumb.jpg

файл Hmies.exe восстановите из Карантина, а также его можно добавить в Доверенные программы и установить галочку Не проверять активность программы

Edited by kmscom

Share this post


Link to post
бывает. это я про ложные срабатывания.

раз файл автоматически удален, то пользователь может исправить ошибку автоматики вручную.

Папку C:\Program Files (x86)\Siemens\ занесите в Исключения

post-328408-1441526105_thumb.jpg

файл Hmies.exe восстановите из Карантина, а также его можно добавить в Доверенные программы и установить галочку Не проверять активность программы

Проблему надо решать глобально - завтра с утра программисты-автоматчики включат компы... и оппа...

Почему не выводятся подробности об удаляемых файлах, чтобы их можно было легко идентифицировать в других местах (архивах/инсталяторах) ?

 

Почему я не добавляю в "исключения" ?

А как бы я находил такие ошибки в работе антивируса Касперского ?

post-218910-1441529000_thumb.jpg

Edited by Simaticov

Share this post


Link to post

Все понятно, обидно, когда антивирус удаляет файлы специализированного софта, нарушая этим работу компьютеризированной инженерной системы. Но от ложных срабатываний антивируса никто не застрахован. Поэтому если нужна надежность работы служебного ПО, то его ЗАРАНЕЕ надо добавлять в исключения защитного ПО. Я всегда так делаю.

Share this post


Link to post

Simaticov, здравствуйте!

 

Спасибо за сигнал, передали информацию ответственным сотрудникам. Не могли бы Вы указать номера запросов в техподдержку, которые создавали по факту предыдущих ложны срабатываний (28 июля и 30 августа, возможно, были еще какие-то)?

Share this post


Link to post

Это было ложное срабатывание. Файлы добавлены в белый список модуля проактивной защиты.

Детектирование прекратится в течение 6 часов.

Share this post


Link to post
Все понятно, обидно, когда антивирус удаляет файлы специализированного софта, нарушая этим работу компьютеризированной инженерной системы. Но от ложных срабатываний антивируса никто не застрахован. Поэтому если нужна надежность работы служебного ПО, то его ЗАРАНЕЕ надо добавлять в исключения защитного ПО. Я всегда так делаю.

 

"Обидно" - это когда хулиган у мальчика конфетку отнимает, удаление давно известных файлов - это провал антивируса. Добавлять в исключения - костыль сводящий на нет смысл антивируса, а если вирус своё тело в эту папку положит? На какой тогда антивирус?

Share this post


Link to post
"Обидно" - это когда хулиган у мальчика конфетку отнимает, удаление давно известных файлов - это провал антивируса. Добавлять в исключения - костыль сводящий на нет смысл антивируса, а если вирус своё тело в эту папку положит? На какой тогда антивирус?

тоже задавался этим вопросом не раз про исключения... что если некто нашел какую-то уязвимость в каком-нибудь исполняемом файле и теперь ему предстоит задача, чтобы антивирус на него ложносрбатывал, это ему удается каким-либо способом, далее пользователь добавляет его в исключения и все, остальное дело техники... ну это так - рассуждения, "далёкого" от антивирусной технологии

Edited by Архар

Share this post


Link to post
"Обидно" - это когда хулиган у мальчика конфетку отнимает, удаление давно известных файлов - это провал антивируса. Добавлять в исключения - костыль сводящий на нет смысл антивируса, а если вирус своё тело в эту папку положит? На какой тогда антивирус?
Да не провал это. Провал это когда антивирус сносит системный файл операционной системы или популярной игры. А ваше спецефичное ПО это редкость по сравнению с остальным ПО. Ни один антивирус от ложных срабатываний в будущем не застрахован. Помнится Олег Зайцев (разработчик AVZ) точную мысль по этому поводу высказывал, что хороший антивирус это золотая середина между детектированием вредоносного ПО и ложными срабатываниями. Либо антивирус будет не мешать пользователю жить, но при этом ничего не детектировать, либо будет хорошо отслеживать вредоносную активность, задевая безопасное ПО.

Насчет использования исключений, то вирусописатели изначально не знают где у вас настроены исключения, какое защитное ПО используется. Если вы вспомните про стакснет в Иране, то там слишком высокий уровень был. И защитные решения должны быть тоже соответствующего уровня.

Share this post


Link to post
Simaticov, здравствуйте!

 

Спасибо за сигнал, передали информацию ответственным сотрудникам. Не могли бы Вы указать номера запросов в техподдержку, которые создавали по факту предыдущих ложны срабатываний (28 июля и 30 августа, возможно, были еще какие-то)?

INC000004790740 WinCC 6.0 http://forum.kaspersky.com/index.php?showt...=327896&hl=

INC000004978714 Siemens WinCC DTM

INC000005026135 этот WinCC в стадии обработки

 

На счёт этого "провала" - ЕК писал про диверсию на ВирусТотале про целенаправленное добавление сигнатур безобидных файлов в базы в 2013 году,

и о недавних обвинениях ЛК в фальсификации баз...

вот случай с языковыми LNG файлами десятилетней WinCC 6.0, которые сами по себе даже запуститься не могут иначе как провокацией не назовёшь... то есть прямая атака на ЛК,

так же как и удаление моего вопроса к ЕК с фанфорума... там тоже шпиёны затерлись, стирающие такие вопросы.

 

Ну и по общим вопросам 6 лет назад http://forum.kaspersky.com/index.php?showt...=131419&hl=

тогда как бы не было желания :dash1: с Yuri Kalashnikov

Edited by Simaticov

Share this post


Link to post

Спасибо. Так получилось, что по INC000005026135 Вам здесь на форуме ответили раньше. В переписке по запросу вижу, что присланные Вами файлы также были переданы в Антивирусную лабораторию, и сейчас детектирование не воспроизводится (ложные срабатывания исправлены). Думаю, в ближайшие день-два получите ответ в самом запросе.

 

Что касается Вашего воспроса к Евгению Касперскому на форуме фан-клуба, его не удалили, а переместили в более подходящий раздел: http://forum.kasperskyclub.ru/index.php?showtopic=47570

Share this post


Link to post
Да не провал это. Провал это когда антивирус сносит системный файл операционной системы или популярной игры. А ваше спецефичное ПО это редкость по сравнению с остальным ПО.

 

Мне почему-то кажется, что инженеру по СКАДА глубоко плевать на популярную игру, как глубоко плевать на СКАДА подростку-геймеру. Вопрос ущерба по оному выведенному серверу с WinCC может исчисляться десятками миллионов долларов, вопрос ущерба подростку игроману в пару десятков долларов.

 

Share this post


Link to post
Что касается Вашего воспроса к Евгению Касперскому на форуме фан-клуба, его не удалили, а переместили в более подходящий раздел: http://forum.kasperskyclub.ru/index.php?showtopic=47570
Дружеское перемещение из вопросов, читаемых ЕК лично и скидывание вопроса в мусорку без доставки Получателю ? :dash1: :icon20:

Он сам лично должен решать - читать/отвечать или в мусорку - почему за него решает кто то иной и важная глобальная информация может не дойти до нужных специалистов

Предлагаю оставить какую-то одну тему, например, на официальном форуме (http://forum.kaspers...howtopic=331773), и вести дальнейшую переписку там, а эту закрыть.

Меня там помощь не интересовала - это была чисто информация для ЕК к размышлению об конкретной компрометирующей атаке и в общем о защите промышленных систем, над которыми ЕК задумался в эти годы, в том числе разработкой своей защищённой ОС.

Share this post


Link to post
Дружеское перемещение из вопросов, читаемых ЕК лично и скидывание вопроса в мусорку без доставки Получателю ? :dash1: :icon20:

Он сам лично должен решать - читать/отвечать или в мусорку - почему за него решает кто то иной и важная глобальная информация может не дойти до нужных специалистов

Безусловно, он сам решил на какие вопросы отвечать. И согласно этому решению написаны правила раздела:

Внимание! Евгений Касперский не оказывает техническую поддержку.

 

Все вопросы о проблемах с антивирусом (установка | настройка | обновление | ключи) и вирусами (лечение | удаление), пожалуйста,

 

пишите только в разделы помощь по продуктам и уничтожение вирусов, соответственно.

Share this post


Link to post

Спасибо Касперскому за защиту промышленной системы автоматизации... 100% и зараза от фрау Меркель не пробъёт её

Вчера поставил обновление 7 для Флекса...

https://support.industry.siemens.com/cs/doc...en&lc=ru-RU

сегодня Касперский снёс Флекс полностью как вражеский троян

d76950ab3006t.jpg

 

 

хочется спросить немецких козлов безответственных за свою работы - вы там чего вааще совесть в толлеранстве спустили ?

Можете согласовать свои обновления с Е.К. Касперским или специально подталкиваете нас к очередным антисанкциям ?

 

На фотке чтото про защиту промышленности

5fa148a86916t.jpg

Американская военная разведка считает, что антивирусы "Лаборатории Касперского" могут подорвать национальную безопасность США.

По мнению эксперта в области телекоммуникаций Леонтия Букштейна, США преследуют ведомственные и коммерческие интересы.

 

Управление разведки Минобороны США (DIA) распространило в Пентагоне уведомление об опасности использования российских программ, в том числе антивирусов "Лаборатории Касперского", сообщают американские СМИ. Предостерегая от использования программного обеспечения, произведенного в России, представители разведки заявили, что оно может угрожать безопасности критических систем промышленной инфраструктуры США: системам контроля распределения электроэнергии, управляющим комплексам плотин и объектов водоснабжения, промышленным предприятиям.

 

В самой "Лаборатории Касперского" такая информация вызвала недоумение. Там напомнили, что все программы обеспечивают защиту от вмешательства извне, а сама компания не работает в политических или иных интересах отдельных стран.

 

По словам шеф-редактора интернет-портала "Мобильные телекоммуникации" Леонтия Букштейна, военная разведка США отрабатывает свой хлеб.

 

"Компания Касперского имеет репутацию, она успешна на территории многих стран, и было бы странно, если бы американские органы допустили бы Касперского свободно работать на своей территории. Кроме того, в стране готовятся к выборам, а также обсуждается бюджет. Плюс заявления (главкома НАТО в Европе) генерала (Филипа) Бридлава о том, что Россия якобы вот-вот нападет на Европу. Все это – фишки с одной доски: нужно показать, что органы не зря едят свой хлеб с маслом. Кроме того, формулировочка-то какова! О возможности чего-то… Если эти слова опустить, то остальное – просто чушь. Вы дайте факты, приведите доводы, дайте статистику. Никто ни в чем компанию не уличил, но уже сделали без вины виноватой", – сказал Леонтий Букштейн в эфире радио Sputnik.

 

Кроме того, по его мнению, преследуются чисто коммерческие интересы.

 

"Заварили кашу, потому что Касперский виден, у него хорошие системы. А самое интересное, что антивирус никак не может нарушить работу. Он работает в другой области. Идет расчет на то, что не все люди это понимают. Логика одна – выставить российское ПО угрозой безопасности промышленности США. Смешно. А дело в том, что в прошлом месяце Евгений (Касперский) объявил о том, что создает специализированную платформу для обнаружения и защиты комплексных и целевых кибератак. Она получила название Kaspersky Anti Targeted Attack Platform. Значит, кому-то она составляет конкуренцию, поэтому конкурента надо убрать. Варягов в Штатах не любят", – предположил Леонтий Букштейн.

 

Edited by siprom

Share this post


Link to post

Здравствуйте,

 

Не могли бы Вы прислать нам задетекченный файл в запросе (https://my.kaspersky.com/support/requests/create) в архиве с паролем? К сожалению, с сайта Siemens скачать ПО могут только зарегистрированные пользователи.

 

Спасибо

Share this post


Link to post
Спасибо Касперскому за защиту промышленной системы автоматизации... 100% и зараза от фрау Меркель не пробъёт её

Вчера поставил обновление 7 для Флекса...

https://support.industry.siemens.com/cs/doc...en&lc=ru-RU

сегодня Касперский снёс Флекс полностью как вражеский троян

d76950ab3006t.jpg

хочется спросить немецких козлов безответственных за свою работы - вы там чего вааще совесть в толлеранстве спустили ?

Можете согласовать свои обновления с Е.К. Касперским или специально подталкиваете нас к очередным антисанкциям ?

Да там ничего особого и согласовывать не нужно.

http://whitelisting.kaspersky.com/whitelist-for-partners-ru достаточно для 99% случаев, исключая ситуации, техника на предприятии принципиально не подключаться к интернету - раз, ну либо пробуксовка у провайдера, и запрос в базу WhiteListing отваливается по таймауту.

Share this post


Link to post
Здравствуйте,

 

Не могли бы Вы прислать нам задетекченный файл в запросе (https://my.kaspersky.com/support/requests/create) в архиве с паролем? К сожалению, с сайта Siemens скачать ПО могут только зарегистрированные пользователи.

 

Спасибо

Зарегистрируйтесь на нём - через несколько дней (если пройдёте проверку) получите разрешение на скачку...

или обратитесь в московский офис к руководителю департамета Михайлину Сергею

http://www.dfpd.siemens.ru/forum/memberlis...ab46dac7b050b16

https://yandex.ru/search/?lr=2&clid=140...%B5%D0%BD%D1%81

 

там несколько файлов были удалены

почему то до сих пор в КИС не была реализована функциональность с предложением переслать упакованный запароленный архив с подозрительными удалёнными из системы файлами напрямую в ЛК :dash1:

 

=============== :cb_punk: =======================

Не знающим специфики программирования промышленной автоматики - я не хожу на объекты с корпоративным системным блоком :cb_punk:

мне на промышленном ноутбуке не нужна корпоративная версия антивируса (которая с таким же результатам удаляет файлы)...

Несколько лет назад КИС была официально в списке полной совместимости с некоторыми промышленными программами (в том числе с Сименсом).

 

Я живу в комфортной гостинице и пользуюсь гостиничным wi-fi ... ну да... мне в гостинице нужен корпоратив :)

 

Share this post


Link to post
Зарегистрируйтесь на нём - через несколько дней (если пройдёте проверку) получите разрешение на скачку...

или обратитесь в московский офис к руководителю департамета Михайлину Сергею

Это существенно увеличит время решения проблемы. Если бы Вы смогли прислать файлы в запросе в техподдержку и указать здесь его номер, мы могли бы передать файлы вирусным аналитикам для устранения ложного срабатывания (если, конечно, оно действительно ложное) сразу же.

Share this post


Link to post
Зарегистрируйтесь на нём - через несколько дней (если пройдёте проверку) получите разрешение на скачку...

или обратитесь в московский офис к руководителю департамета Михайлину Сергею

Это шикарный ответ. Пришпилить бы его в шапку

Головная боль от удаленных файлов у вас, не у Сименса и не у KL.

 

Однако сотрудники KL должны где-то там зарегистрироваться, и если вдруг выпадет такая удача и они исхитрятся пройти проверку, то им дадут доступ :D

Edited by Русский

Share this post


Link to post

Вообще топик можно закрывать... Пострадавший не хочет что бы ему помогали и игнорирует любую попытку решить его проблему и рассказывает сказки о том что ему мешает ...

 

Это навевает разные нехорошие мысли в отношении этого пользователя

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.