WoWchik Posted November 28, 2024 Posted November 28, 2024 Здравствуйте! Помогите разобраться. На нескольких файловых серверах + контроллерах домена Kaspersky Endpoint Security обнаруживает и стирает программу C:\installed.exe в которой- Trojan.Win32.Fsysna.ezkw. Мне нужно узнать, кто ее рассылает (создать правило в Wireshark например) Подскажите как в базе антивируса найти и достать нужную сигнатуру ??? (Поиск по вирусу в сети не выдает именно по Trojan.Win32.Fsysna.ezkw никакой информации)
durtuno Posted November 28, 2024 Posted November 28, 2024 (edited) On 11/28/2024 at 2:06 PM, WoWchik said: (Поиск по вирусу в сети не выдает именно по Trojan.Win32.Fsysna.ezkw никакой информации) Expand И не выдаст, т.к. это семейство; On 11/28/2024 at 2:06 PM, WoWchik said: Подскажите как в базе антивируса найти и достать нужную сигнатуру ??? Expand Сигнатуру чего? Зловреда? А, для чего? On 11/28/2024 at 2:06 PM, WoWchik said: Мне нужно узнать, кто ее рассылает (создать правило в Wireshark например) Expand Использовать сторонние утилиты, которых предостаточно. Кстати да, интересно, а что в журналах событий на "KSC", какой процесс порождает этот файл? Edited November 28, 2024 by durtuno
WoWchik Posted November 29, 2024 Author Posted November 29, 2024 On 11/28/2024 at 3:28 PM, durtuno said: Сигнатуру чего? Зловреда? А, для чего? Expand Чтобы настроить правило для перехвата трафика, Вы знаете как это сделать ? On 11/28/2024 at 3:28 PM, durtuno said: Кстати да, интересно, а что в журналах событий на "KSC", какой процесс порождает этот файл? Expand Где именно посмотреть это ? Какой именно журнал ?
durtuno Posted November 29, 2024 Posted November 29, 2024 On 11/29/2024 at 5:37 AM, WoWchik said: Чтобы настроить правило для перехвата трафика Expand У Вас сигнатурный детект файла, причем тут перехват трафика? Уж уверен, что ни одна АВ-компания никакие сигнатуры не публикует, но есть понятие хэшей, которые Вы сможете увидеть в отчёте угроз. Для логгирования попробуйте использовать сторонние утилиты, раз у Вас сценарий повторяется; On 11/29/2024 at 5:37 AM, WoWchik said: Вы знаете как это сделать ? Expand Нет, не знаю; On 11/29/2024 at 5:37 AM, WoWchik said: Где именно посмотреть это ? Какой именно журнал ? Expand Например журнал событий "KSC".
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now