Перейти к содержанию

Об массовом обнаружении вирусов в ПО Сименса, компрометация антивируса Касперского


Рекомендуемые сообщения

Сегодня КИС2016 удалил Siemens WinCC Flexible 2008 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")
f0d8c8bb0e0dt.jpg

Ранее "вирус" был обнаружен в Siemens WinCC 6.0 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")

 

 

Вот такой конфуз "обнаружился" через 10 лет
e201924e5b89t.jpg

Извиняюсь за тень на русский плетень... руссификатор чист - этих файлов в нём не было.
Вирус детектируется в оригинальных файлах WinCC 6.0 SP4... отправил запрос в ЛК.

Ответ техподдержки
07/28/2015 [13:11]

 

Ложное детектирование уже исправлено. Пожалуйста, обновите антивирусные базы.
Если проблема сохранится, пожалуйста, пришлите скриншоты детектируемых файлов.

Благодарим за понимание и сотрудничество, приносим извинения за доставленные неудобства.


 

Ложная тревога в установщике Siemens WinCC DTM
24.08.2015 15.26.24;Обнаруженный объект (файл) не обработан.;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;not-a-virus:HEUR:AdWare.Win32.Agent.gen;Рекламная программа;08/24/2015 15:26:24

Ответ техподдержки
08/30/2015 [14:54]
Приносим извинения за длительное время обработки вашего запроса.

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.


Я понимаю, что против Касперского начата информационная война и кто-то целенаправленно заносит сигнатуры программного обеспечения для промышленной автоматики в базы Касперского...
но с этим надо что то делать, иначе могут пострадать промышленные объекты...
Как никак но в Readme на некоторые продукты Сименса заявлена полная совместимость с антивирусом Касперского.
Просьба к соответствующим работникам Сименса и Лабораториии Касперского наладить контакт для добавления ПО Сименса в разряд неудаляемого и проверенного.
Сам пересылать гигабайты ПО Сименса в принципе могу... так как рутрекер загнобили вчера и оттуда вам его не скачать :(
Не знаю куда обращаться с такой глобальнейшей проблемой :dash1: Перешлите сообщение Гостеву - он вроде в этом направлении Stuxnet'ы ещё копает.
Ссылка на комментарий
Поделиться на другие сайты

 

самостоятельно добавить вручную в исключения

Проблему надо решать глобально - завтра с утра программисты-автоматчики включат компы... и оппа...

Почему не выводятся подробности об удаляемых файлах, чтобы их можно было легко идентифицировать в других местах (архивах/инсталяторах) ?

 

Почему я не добавляю в "исключения" ?

А как бы я находил такие ошибки в работе антивируса Касперского ?

0d2162b368ddt.jpg

Ссылка на комментарий
Поделиться на другие сайты

Вы писали в тех.поддержку по поводу ложного срабатывания?

Если писали, но напишите номер обращения.

так как вопроса топик не содержит, то переезжаем в другой раздел.

Ссылка на комментарий
Поделиться на другие сайты

 

 

самостоятельно добавить вручную в исключения

Проблему надо решать глобально - завтра с утра программисты-автоматчики включат компы... и оппа...

Почему не выводятся подробности об удаляемых файлах, чтобы их можно было легко идентифицировать в других местах (архивах/инсталяторах) ?

Так решите глобально. Отправьте файл в вирлаб, с пометкой "ложное срабатывание" http://newvirus.kaspersky.ru/

Ссылка на комментарий
Поделиться на другие сайты

@Денис-НН, быстрее будет через техническую поддержку.

@Simaticov, вроде вы уже один раз писали на официальном форуме. 

Создайте запрос в техническую поддержку и приложите все ложно удаленные файлы в архиве с паролем: infected +скриншоты детектирования.

Пусть ТП их отправляет в Вирлаб.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Передали информацию ответственным сотрудникам. Предлагаю оставить какую-то одну тему, например, на официальном форуме (http://forum.kaspersky.com/index.php?showtopic=331773), и вести дальнейшую переписку там, а эту закрыть.


Это было ложное срабатывание. Файлы добавлены в белый список модуля проактивной защиты.

Детектирование прекратится в течение 6 часов.

Ссылка на комментарий
Поделиться на другие сайты

Предлагаю оставить какую-то одну тему, например, на официальном форуме (http://forum.kaspersky.com/index.php?showtopic=331773), и вести дальнейшую переписку там, а эту закрыть.

 

Предложение принимается, тема закрыта.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • IStogov
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • JohnYakuzer
      От JohnYakuzer
      После сканирования всего пк касперский находит этот вирус в системной памяти. После лечения вирус так же остается в системе.CollectionLog-2024.10.22-15.33.zip 
    • Ari_x_100
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...