-
добавить в избранное
Два факта и один вопрос
3 июля 2017
Я использую nicehash майнер, скачанный с их официального сайта, для майнинга.
Пришлось удалить ваш антивирус drweb, т.к. он удаляет программу NICEHASH Miner.exe, написано «угроза ТРОЯН».
На данный момент майнинг является самым популярным объектом для зарабатывания биткойнов.
Возможно ли исключить NICEHASH или настроить ваш антивирус,
чтобы он не удалял ПАПКУ и исполняемые файлы программы майнера найсхэш.?
Запрос в техподдержку «Доктор Веб» в июне 2017 года
Факт 1
При работе антивирусных программ часто возникают ситуации, когда антивирус не пропускает файлы, которые не содержат вирусов. Для нормальной работы с такими файлами необходимо добавить их в исключения антивируса, чтобы антивирус его игнорировал, и файл не попадал в карантин.
Примеры создания исключений в распространенных антивирусах для ПО M.E.Doc IS.
Далее следуют инструкции для добавления ПО компании в исключения самых разных антивирусов. Есть аналогичная страница и на сайте http://me-doc.dp.ua/index.php?option=com_content&view=article&id=97, но сейчас она недоступна.
29. Ошибка при запуске:
M.E.DOC 10.00.080
Локальна версія
ОС: Microsoft Windows NT 5.1.2600 Service Pack 3
System.ArgumentException: Requested value 'Appendix8' was not found.
Причина: поврежден файл DMF.Native.dll, либо блокируется антивирусом (AVG AntiVirus Free Edition 2012).
Решение: подбросить "живой" DMF.Native.dll с заменой старого, в настройках антивируса добавить папку Медка в исключения.
Заслушаем мнение товарищей с той стороны:
Вы имеете представление о том, что такое «обновление антивирусных баз (сигнатур вирусов)»? Наверно, нет. Так вот, пока мы здесь сидим, вирусные аналитики (касперского иже с ним) придумывают методы поиска ПОТЕНЦИАЛЬНЫХ вирусных атак. Анализируют коды, принимают решение, выпускают обновление (порой ежедневно). И что в голове того вирусного аналитика, - остается догадываться, какой код программы он сочтет вредоносным. Любое действие, которое может выполнять добавление-удаление файлов, изменение его содержимого - может рассматриваться как вирусная угроза. В Медке действительно много системных функций, работающих непосредственно с файлами, в т.ч. файлами ОС. Неудивительно, что многие антивирусы подозревают, что в этом есть какой-то скрытый смысл. Восстановите все файлы с карантина и добавьте Медок в список исключений.
А где гарантия, что в МЕДКЕ нет вирусов?
А зачем им там быть? Если думаете, что программисту Васе интересно написать вирус в Медке, Вы сильно ошибаетесь. Это Вы еще незнаете, что такое быть уволенным с крупной компании по статье «Недоверие» (и подобным). С такой статьей никто на работу потом не возьмет. Это во-первых. Во вторых, на компьютерах программистов конечно тоже должны быть антивирусники. В третьих - сервер. В четвертых - аппаратные Firewall'ы. Вне подозрений, абсолютно.
А то, что с ним конфликтуют антивирусы, - это недоработка сырых антивирусов, которые немогут отличить черное от белого. Знаете, что такое «профессиональный синдром»? Это когда мент, который идет в магазин после работы, видит в каждом окружающем - преступника.
Вы бухгалтер? Скажите мне как бухгалтер бухгалтеру - какая основная функция любой коммерческой компании? Получение прибыли, естественно. А написание вирусов.... это политика студентов и просто хороших профессионалов в области программирования. Но пишутся вирусы в свободное от работы время, а не как ни на работе. На работе нужно отрабатывать зарплату. А наличие вирусов может только компроментировать компанию, в которой работает программист. Так что даже не думайте, что в коммерческих продуктах официальных разработчиков (любых) на ихнем оффсайте могут быть вирусы. Это впринципе исключено.
У Вас какие-то детские рассуждения.
Причем тут программисты, разрабатывающие сам МЕДОК?
Речь идет о том, что некий новый вирус портит-заражает модули самого МЕДКА.
Может такое быть? Может! Ведь антивирус не всегда поспевает за вирусом.
А мы с Вами с подачи разработчиков МЕДКА настраиваем антивирус в режим: «МЕДОК - святой».
И лишаем себя возможности излечиться от такого вируса.
Та нет, логика детская у Вас.
Если что-то и заражает компьютер, то вопросы к вашему опыту и знаниям антивирусных программ.
Сайты, на которых размещаются официальные дистрибутивы любых программ, вне подозрений.
А если вы непредохраняетесь и в организме вашего компьютера есть вирусы - лечитесь.
Потому как запущенные вирусы поражают все (многие, или конкретные) программы. Думаю, дистрибутивы Вы скачиваете с оффсайта, а не «Иванова.ua»?
Антивирусные программы конфликтуют с Медком, а не он с ними.
Потому, как известно, при первых сигналах были заключены договора с разработчиками антивирусных программ, чтобы они внесли поправки в свое ПО.
Последним также понадобилось время на тестирование и внесение изменений в свои антивирусные логики.
Хотя конечно еще возникают случаи антивирусной тревоги - тех, кто необновляет свои антивирусные базы (из боязни попасть в БлекЛист), или специфические антивирусники.
Факт 2
Заразивший множество компьютеров по всему миру червь-шифровальщик Trojan.Encoder.12544, известный также под именами Petya, Petya.A,ExPetya и WannaCry-2, проникал в операционную систему с использованием программы обновления приложения MEDoc, предназначенного для ведения налогового учета.
http://news.drweb.ru/show/?i=11353
Первоначальные заражения, как представляется, связаны с обновлениями ПО от украинской компании M.E.Doc, которая разрабатывает программное обеспечение налогового учета, MEDoc. У Microsoft теперь есть доказательства того, что несколько активных заражений первоначально начались с законного процесса обновления Medoc.
Наша телеметрия, показывающая процесс обновления программного обеспечения MEDoc (EzVit.exe), показала выполнение вредоносной командной строки, соответствующей этой схеме атаки во вторник, 27 июня, около 10:30 по Гринвичу.
Схема последовательности выполнения, ведущая к установке ransomware, представлена на рисунке ниже и по существу подтверждает, что процесс EzVit.exe из MEDOC по неизвестным причинам в какой-то момент выполнил следующую командную строку:
C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30
Антивирусная правДА! рекомендует
Ну что тут можно сказать… Доигрались?
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
15:34:24 2018-10-30
Денисенко Павел Андреевич
13:33:09 2018-08-05
Неуёмный Обыватель
00:17:28 2018-07-01
vasvet
20:42:59 2018-04-05
Инквизитор
12:20:48 2017-08-02
Nett
15:05:22 2017-07-14
vlm200916
01:55:15 2017-07-10
AntonIT
15:02:14 2017-07-04
"A danger foreseen is half avoided"
Вячeслaв
11:08:29 2017-07-04
- сколько операций по биткоинам проводят компании, объявившие о своей поддержке этой валюты. Вообще и в процентах к общему числу
- как они оправдываются перед налоговой, что принимают в уплату непонятно что с точки зрения закона
Вячeслaв
11:04:22 2017-07-04
Вячeслaв
11:02:38 2017-07-04
- разделить компьютеры бухгалтеров с выходом в интернет от их же машин, но с доступом к банкам. Две машины на бухгалтера
- Убрать лишние права у программ. Было в комментариях, что один админ избежал проблем с Медком, запуская их приложения с ограниченными правами
В общем - ограничиваем доступ кому не нужно куда не требуется
dyadya_Sasha
23:49:34 2017-07-03
Хакеры распоясались. Нынче нужно быть очень осторожным.
imi
23:30:13 2017-07-03
220wolf
23:19:01 2017-07-03
Марина
22:26:47 2017-07-03
Неправильный вопрос в статье стоит.
coolira
21:59:58 2017-07-03
forrus
21:56:52 2017-07-03
aleks_ku
21:42:59 2017-07-03
solec
21:38:35 2017-07-03
ek
21:26:10 2017-07-03
Dvakota
21:25:47 2017-07-03
Б...а
21:24:58 2017-07-03
Luger
21:09:52 2017-07-03
НинаК
21:06:38 2017-07-03
orw_mikle
20:52:20 2017-07-03
В...а
20:45:16 2017-07-03
vla_va
20:18:04 2017-07-03
Шалтай Александр Болтай
20:02:02 2017-07-03
chicer
20:01:46 2017-07-03
Шалтай Александр Болтай
19:58:54 2017-07-03
Шалтай Александр Болтай
19:54:38 2017-07-03
@admin, Кстати в эпиграфе к выпуску сказано про использование программ для майнинга. Это вообще законно?
kva-kva
19:47:20 2017-07-03
Шалтай Александр Болтай
19:41:52 2017-07-03
Alexander
19:35:25 2017-07-03
mk.insta
19:30:20 2017-07-03
Альфа
19:12:03 2017-07-03
B0RIS
17:53:06 2017-07-03
a13x
17:38:50 2017-07-03
Вячeслaв
16:44:28 2017-07-03
СЕО Интеллект-Сервис (M.E.Doc) Алеся Белоусова: "Поэтому для кибератаки выбран "правильный" путь распространения. Вирусы ведь пишут под популярные продукты".
"Мы также были пострадавшей стороной. Практически все компьютеры с системой Microsoft у нас тоже полетели. Были определенного рода обвинения, что наш сервер является распространителем этого вируса. Что якобы у нас есть какое-то паразитирующее обновление, которое устанавливается на машины, где установлен наш продукт. И после чего случается вот это заражение. Но на сегодняшний день этот сервер как тогда работал, так и сейчас работает. Обновления скачиваются. Фактов взлома сервера на сегодняшний день не выявлено"
Они даже сервак с которого все расходилось не вырубили! Зато
Александр Данченко: "Тут вопрос не популярного продукта… тут вопрос взаимодействия российского ФСБ на территории России с компанией… давайте скажем, так со всеми разработчиками программного обеспечения. И Microsoft, к сожалению, не является исключением. Она сотрудничает в полном объеме в России с ФСБ. И ФСБ знает все дырки, и все другое".
Вячeслaв
16:39:54 2017-07-03
Первоначально по Украине - видимо Медок, по иным странам - как говорят - растекся через подключения по VPN. Подтверждения не видел.
Почему Медок? А кто его знает. Пишут, что заложен троян был 200 дней назад. Верить апдейтам нельзя никак. Поэтому разделяй и властвуй - разделять сети на сегменты и не пускать компьютеры друг к другу.
Геральт
15:06:22 2017-07-03
Alexander
14:47:55 2017-07-03
По второму факту, по моему, остаются недосказанность, вопросы и сомнения. Можно даже сказать - настораживающие предположения. С одной стороны, Trojan.Encoder.12544 характеризуется как динамическая библиотека, с другой стороны, шифровальщик заражает компьютеры при помощи набора уязвимостей в системе, с третьей же стороны, как частный случай, - он проникал в операционную систему с использованием программы обновления приложения MEDoc. В этом случае процесс EzVit.exe из MEDoc по неизвестным причинам в какой-то момент выполняет командную строку с вредоносным результатом. И вот эта "третья сторона" вызывает неясность. Какие пути и способы проникновения этого трояна в систему, почему именно MEDoc, был ли модифицирован файл EzVit.exe, подойдут ли другие "подобные" файлы из программ, которые систематически централизованно самостоятельно обновляются (Консультант, 1С-Бухгалтерия и т.п.)? Какова роль и значение инсайдерского участия в таком выборочном и быстром распространении трояна?
А до полного выяснения, да собственно и без этого, остается только полагаться на Dr.Web Security Space.
beoris
14:29:18 2017-07-03
Littlefish
13:51:05 2017-07-03
Если антивирус ругается, то нужно стараться не в исключения добавлять, и уж тем более не отключать антивирус, а пытаться найти альтернативную программу, на которую антивирус реагирует спокойно и тогда не понадобится добавлять её в исключения. Также, если есть подозрения в ложном срабатывании антивируса, можно отправить файл(ы) для повторной проверки в антивирусную лабораторию.
Sasha50
13:20:54 2017-07-03
razgen
13:07:02 2017-07-03
Tav01rus
12:41:03 2017-07-03
Sasha50
12:13:36 2017-07-03
Родриго
12:08:31 2017-07-03
djabax
12:08:18 2017-07-03