Dr.Web-многостаночник

ДЕТЕКТивы

добавить в избранное

Dr.Web-многостаночник

Прочитали: 19838 Комментариев: 45 Рейтинг: 70

15 июня 2020

Честно признаемся: лечить некомпьютерное оборудование нам доводится редко. В основном мы имеем дело с обычными ПК и мобильными гаджетами. Но иногда к нам на анализ приходят редкости – например, недавно была история со станком. А точнее, с установленным на нем ПО.

Пришел китайский станок лазерной резки. На борту ОС Windows 7.

Вставили гарантированно чистую от вирусов флешку, для копирования файлов программ со станка, принесли на рабочий ПК, получили оповещение о вирусе:

Worm.Siggen.12242 (Инфицирован) и все файлы на флешке исчезли, появился скрытый раздел. Также со станком шло ПО, на usb носителе, при попытке скопировать с него файлы дистрибутивов получили множество детектов, см. вложение.

Хорошо уже то, что на рабочих компьютерах был установлен наш корпоративный антивирус: он-то и выявил проблему.

Dr.Web-у попалась богатая коллекция, одним Worm.Siggen.12242 дело не ограничилось. Кстати, Worm – это червь, так что злоумышленник мог рассчитывать на заражение всей клиентской сети. А может и нет – просто китайский бардак.

Наша техническая поддержка сразу запросила отчет со станции и образцы вредоносного ПО на анализ:

Почему и какие файлы удалились нужно смотреть в логах со станции. Без сэмпла файла и логов мы к сожалению ничего не можем Вам сказать.

Можете собрать логи утилитой и прикрепить отчет к запросу.

Файл был перемещен в карантин – и это хорошо, так как оттуда его можно извлечь для изучения. Пользователь опасался это делать, но наш специалист его обнадежил:

Все, что Вы извлечете из карантина, по умолчанию сразу ничем не удалится. Просто извлекаете и сразу пакуете файл в архив, можно с паролем. Архив присылаете нам, файл можете после этого сразу удалить.

Естественно, извлекать нужно осторожно и только на станции без возможности запуска файла.

Анализ выявил чудесное – опять древний вирус!

Похоже это не ложное срабатывание, а старый вирус, который создает ярлыки вместо папок и скрывается файлы. Сейчас такое уже редко встречается. Судя по всему все файлы на флешке сейчас просто скрыты.

Включите в настройках отображения папок в проводнике отображение скрытых и системных файлов. Или через ком. сроку от имени администратора дайте команду

attrib -s -h -a -r E:\* /s /d

Она должна вернуть все атрибуты файлов на место.

Если флешка до этого точно была чистая, то очевидно этот вирус был записан в момент перемещения файлов со станка, а значит заражен сам станок, возможно еще с завода.

В первую очередь, если это возможно необходимо просканировать сам станок утилитой CureIt и обезвредить все найденные угрозы.

После этого пользователю были выданы ссылки на специальные утилиты Dr.Web, позволяющие выявить и пролечить проблемные места.

Кстати, параллельно клиент связался с поставщиком в Китае.

Поддержка китайцев на уровне: «это не вирус, просто отключите свой антивирус и работайте спокойно».

Что тут скажешь 😊

Вирус на станке был выявлен:

Система на станке безусловно инфицирована BackDoor.Andromeda.178.

Удаление этого файла не нанесет ущерба системе. Принесет пользу. Ну совсем на всякий случай вы можете сделать предварительно резервную копию этого файла.

Воздействие вируса на подключаемые "флэшки", состоит в записи на них вирусной программы (Worm.Siggen.12242; заражение носителя).

Кроме того вирус создает на "флэшке" каталог, у которого в качестве имени используется символ "пробел" (юникодный символ "non-breaking space"), в который вирус переносит все содержимое флэшки от корня.

Таким образом, данные не уничтожены, и даже никак не затронуты.

Все их можно найти в этом специальном каталоге.

Тот же Total Commander должен позволить увидеть и открыть эту папку, если в настройках включить отображение скрытых и системных папок/файлов.

Дальнейшее исследование станка показало, что вредоносный софт не просто там присутствовал, а заразил нужную для работы программу.

Курейт считает зараженными exe основной программы (на скриншоте выделено, находятся на диске D). Если он его удалит, у нас вместо лазерной установки груда железа.

По счастью, это был вирус, а не троян. Поэтому удаление вредоносного кода оказалось возможным (напоминаем, что отличие вирусов от троянов – в том, что в случае вирусов вредоносный код можно попытаться удалить из файла).

#антивирус #бэкап #ВКИ

Антивирусная правДА! рекомендует

Старые вирусы не умирают – скорее исчезнут те системы, на которых они запускаются. Но до этого еще далеко.
На компьютерах сети должен быть установлен корпоративный антивирус, в том числе отслеживающий статистику заражений. Мало ли кто и куда флешку вставит!
Купили компьютер – проверьте антивирусом.
«Железо» сейчас дешевое, и полноценную ОС, позволяющую запустить любой троян, можно найти в чем угодно, от принтера до унитаза.
Действие по умолчанию с подозрительным объектом – в карантин. Иначе анализ файла будет невозможен.
Перед лечением важных систем делайте бэкап.
Верить поставщикам на слово, увы, нельзя.
При возникновении проблем, подобных описанным в выпуске, обращайтесь к нам.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

PhillipO
23:11:40 2020-06-18

Спасибо, очень полезно - в том числе и в качестве примера для тех, кто наивно полагает, будто все вирусы уже самоликвидировались / успешно выловлены миллионами антивирусов :)

Sasha50 Собкор
08:02:41 2020-06-18

Чем больше техники с ОС, тем больше вирусов и троянов в них.

Альфа
23:16:41 2020-06-15

Приятно, что и здесь Dr.Web не подвёл и оказался на "высоте"!

Неуёмный Обыватель Собкор
21:51:52 2020-06-15

Старые вирусы умрут только тогда, когда исчезнет их кормовая база. Те устройства, на которых они могут запускаться.

anatol
21:38:16 2020-06-15

Грустный вывод: получается что практически любое железо с ПО потенциально опасно.

Serg07
19:59:01 2020-06-15

Интересная статья, спасибо. Позабавил ответ от поставщиков.

Шалтай Александр Болтай Собкор
19:45:45 2020-06-15

— Я в совершенстве изучил этот токарный станок, эту фрезу и электроточило. — Теперь я знаю их как свои три пальца.

Татьяна
19:23:22 2020-06-15

Видимо скоро придется всю бытовую технику на вирусы проверять.

admin_29
18:31:27 2020-06-15

Скоро в умных чайниках будут вирусы

L1t1um
18:19:15 2020-06-15

Да уж. Где есть ОС, там и вирус может завестись. Антивирусом пренебрегать не стоит в таких случаях.

Денисенко Павел Андреевич
18:04:38 2020-06-15

Любые умные устройства могут быть атакованы различными вирусами и троянами. Надо всегда пользоваться антивирусом.

Toma
17:10:16 2020-06-15

Статья наводит на мысли о необходимости проверки всех устройств.

Геральт Собкор
16:44:56 2020-06-15

В любой системе должен быть антивирус. Без него никуда.

Slava90
16:37:34 2020-06-15

Интересно конечно, даже не думал что могут быть вирусы в ОС в станках.

Lenba
16:17:54 2020-06-15

Где есть операционка, там есть и вирусы. Но будет Dr.Web: всё станет на свои места.

Masha
16:06:32 2020-06-15

Не думала, что и в станках могут быть вирусы. Интересный случай.

Zserg
15:48:16 2020-06-15

Спасибо за многостаночность, Dr.Web!

I46
15:38:13 2020-06-15

Рубрика новая, а проблемы старые.

EvgenyZ
14:20:02 2020-06-15

Новая рубрика и новый интересный случай из жизни! Поучительно.

Любитель пляжного футбола Собкор
13:38:42 2020-06-15

Смотрю, сегодня новая рубрика в АВП появилась, ждём таких же интересных статей и в дальнейшем.

Dvakota
13:37:59 2020-06-15

Китайцы тоже люди и лоботрясов видать у них хватает!

Любитель пляжного футбола Собкор
13:35:14 2020-06-15

@Людмила, я ещё когда прочитал новость у вас на сайте от 11 числа, довольно живо представил себе всю комичность ситуации, только забыл прокомментировать ту новость. А сегодня как раз статья на эту тему, вот я и смоделировал. :)

Хорошо, что клиенты сознательные попались. Некоторые ведь отключают, когда им "техподдержка" так порекомендует.

kokuxo
13:11:38 2020-06-15

«это не вирус, просто отключите свой антивирус и работайте спокойно». - а что так можно было :)

vinnetou
12:51:05 2020-06-15

Чего только в мире не бывает,ответ китайской тех.поддержки,повеселил.Купили компьютер – проверьте антивирусом,золотое правило!!!

Dmur
12:35:26 2020-06-15

Интересная, поучительная история. Видимо все нужно проверять антивирусом.

Mara
12:28:29 2020-06-15

Вот и верь поставщикам! Сложно с китайцами :)

Alexander Собкор
12:02:25 2020-06-15

Да, как не ограждай могильник с заразой, а какая-нибудь, просочится наружу, выскочит и пойдёт куролесить... Хорошо, что у Dr.Web Security Space для всякой цифровой пакости отсутствует "срок давности" на её преследование.

А поставщик оборудования "хорош…". Нет, чтоб проверить другие станки на отсутствие "зловредов", так ещё и предлагает выключить работающий антивирус... Но, может быть, в переписку вкралась ошибка перевода? Так явно и беззастенчиво подставлять себя, - это ж репутационные потери и снижение продаж... Как-то не похоже на солидных "восточных" продавцов, и тем более, производителей. Но, может быть, это какой-то мелкий посредник за "откат" недобросовестному представителю покупателя решил себе гешефт устроить? А покупатель станка (руководитель предприятия) с чьей-то подачи раздул взаимное недопонимание с конкретным продавцом до обвинения и обобщения стиля торговли в другом государстве.

Другое дело, компания "Доктор Веб". Образно говоря, "и коня на скаку остановит" (трояна и вирус заблокирует), "и в горящую избу войдёт" (вылечит уже зараженное, и восстановит почти потерянное).

DrKV Собкор
11:21:38 2020-06-15

Знакомая история. В начале 2000-х довелось мне поработать на газорезке японского производства, где стояла ОС реального времени QNX и мы пользовались дискетами для загрузки программ резки. О вирусах не было и речи. Но были ещё украинские станки "Комета" с W95 - вот там беда была, программисты постоянно чего-нибудь выгребали оттуда. ))

maestro431
10:34:11 2020-06-15

Dr. Web удалит все угрозы.

Вячeслaв Собкор
10:09:21 2020-06-15

@TV, на оборудование обычно активную защиту не ставят - велик риск того, что в момент важной операции какой антивирус начнет проверку и на критические миллисекунды задержит какую задачу. Оборудование изолируют (проверяют трафик и файлы для него). А в самой сети клиента уже мы стояли, почему клиент и обнаружил вирусы

dyadya_Sasha Собкор
10:00:15 2020-06-15

Грязные фрукты с восточного рынка. Тщательно моем перед употреблением брендированными зеленым паучком обеззараживающими средствами.

Людмила
09:52:55 2020-06-15

@Любитель_пляжного_футбола,
блеск! как же вы повеселили нас всех с утречка:))

vkor
09:10:53 2020-06-15

Верить поставщикам на слово нельзя. А хоть кому-то можно?

orw_mikle
08:47:32 2020-06-15

Кроме домашнего ПК и смартфона с установленными антивирусами Dr.Web у меня, к счастью, ничего нет.

Пaвeл Собкор
08:37:40 2020-06-15

"Старые вирусы не умирают" - верно подмечено. Они только ждут своего часа. В данном случае, как и в предыдущем выпуске, поможет только заблаговременная "вакцинация".

Alex Kad
08:00:58 2020-06-15

Очевидный результат развития технологий. Просто надо будет перестроить восприятие - ставим антивирус на телефон, на банкоматы ставится - фактически любой промышленный компьютер под угрозой - теперь и к ним надо будет относиться так же - проверять, а затем защищать антивирусом

tigra Собкор
07:52:29 2020-06-15

Вот дожились, раньше рыбу на свежесть проверяли, а сейчас... При покупке унитаза брось в унитаз флешку с CureIt'ом-если черви попрут, значит заражённый был))))

Vlad X
07:32:15 2020-06-15

Нужно,наверно всю технику проверять на безопасность,особенно
медицинскую.

Любитель пляжного футбола Собкор
07:12:37 2020-06-15

Вырус? Какой вырус? Да, дарагой, нэт, дарагой. Станок здаровый, мамой клянусь! Кто гаварит? Антивырус гаварит? Шайтан-майтан, атключитэ антивырус, нэ будэт гаварит! :))

Всё купленное нужно проверять на заразу, и музыкальный унитаз, и говорящий утюг. Было бы только куда флешку с CureIt'ом воткнуть. :)

Korney
06:59:54 2020-06-15

Китайская техподдержка - "отключи защиту и живи спокойно.. Меньше знаешь, лучше спишь."

ka_s
06:58:12 2020-06-15

Вспоминается случай, когда в 1990-х партия жестких дисков, полученных из Юго-Восточной Азии, была заражена загрузочными вирусами. Похоже, на востоке так принято шутить. Хорошо, админ оказался "на высоте" и в продажу пошли "вылеченные" ПК.

Sergey
06:49:22 2020-06-15

В бизнесе как и в жизни принцип должен быть один: "Доверяй, но проверяй!". Напрашивается крамольная мысль, что эти китайские "партнеры" умышленно нашпиговали систему на станке вирусами и червями, дабы получать от клиентов какую-то нужную им конфиденциальную информацию. Коммерческий шпионаж однако)) Хорошо, когда есть надежный антивирус, способный защитить. Спасибо за полезные советы, как всегда все толково и по делу!

TV
05:38:50 2020-06-15

Поддержка китайцев на уровне: «это не вирус, просто отключите свой антивирус и работайте спокойно». -УЛЫБНУЛО.
Пользователям "умного" станка сильно повезло, искренне надеюсь, что после этого инцидента они поставят полноценный антивирус на свое железное оборудование.

achemolganskiy
05:21:18 2020-06-15

А где в будущем не нужно будет антивирусника ?

Morpheus Собкор
04:55:22 2020-06-15

Повеселил ответ китайской тех.поддержки :)

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Dr.Web-многостаночник

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей