Комментарии 7
А промышленные антивирусы его видят?
В карантине АВПО на хостах было обнаружено множество файлов Glupteba от разных моментов времени (в том числе и драйверов), но на момент расследования ВПО успешно функционировало.
Как одно сочетается с другим? Антивирус работает или ему недоплачивали и он подхалтуривал?
Мы не являемся разработчиками АВПО, установленного на заражённых хостах, и не можем наверняка сказать, в какой момент что-то пошло не так. Мы просто видим, что АВПО было установлено, но при этом были убиты не все вредоносные файлы. Причин может быть много. Возможно, антивирусу была необходима перезагрузка, чтобы выгрузить вредоносные драйверы, один из которых как раз сделан для того, чтобы мешать работе АВПО.
Я про то, может ли Касперский и товарищи, что-то с таким вредоносом сделать? Потому как вашим заказчикам хорошо, их почистили. А вот домашняя вина она тормозит потому что индусы криворукие или что-то могло завестись, что об антивиры ножки вытирает)
Отдельного внимания заслуживает алгоритм смены серверов управления.
при этом вся история остается в базе для анализа улик.
Может быть все беды от того, что на компьютерах этой важной организации почему-то есть прямой доступ в Интернет?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика