Перейти к содержанию

Об массовом обнаружении вирусов в ПО Сименса, компрометация антивируса Касперского

Simaticov

От Simaticov
в Помощь по персональным продуктам

 Share

Рекомендуемые сообщения

Simaticov Новичок

Simaticov

Опубликовано
Опубликовано

Сегодня КИС2016 удалил Siemens WinCC Flexible 2008 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")
f0d8c8bb0e0dt.jpg

Ранее "вирус" был обнаружен в Siemens WinCC 6.0 - это промышленная система визуализации и диспетчеризации (в просторечье "СКАДА")

 

 

Вот такой конфуз "обнаружился" через 10 лет
e201924e5b89t.jpg

Извиняюсь за тень на русский плетень... руссификатор чист - этих файлов в нём не было.
Вирус детектируется в оригинальных файлах WinCC 6.0 SP4... отправил запрос в ЛК.

Ответ техподдержки
07/28/2015 [13:11]

 

Ложное детектирование уже исправлено. Пожалуйста, обновите антивирусные базы.
Если проблема сохранится, пожалуйста, пришлите скриншоты детектируемых файлов.

Благодарим за понимание и сотрудничество, приносим извинения за доставленные неудобства.


 

Ложная тревога в установщике Siemens WinCC DTM
24.08.2015 15.26.24;Обнаруженный объект (файл) не обработан.;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;C:_Siemens\WinCC_DTM_V7_0_UD_4.zip//DTM_SERVER_07.00.01.04_01.01.00.01/Data1.cab//RSALIB.DLL_0377BB17_D3E5_534E_A290_B4857DC0FD4D;not-a-virus:HEUR:AdWare.Win32.Agent.gen;Рекламная программа;08/24/2015 15:26:24

Ответ техподдержки
08/30/2015 [14:54]
Приносим извинения за длительное время обработки вашего запроса.

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.


Я понимаю, что против Касперского начата информационная война и кто-то целенаправленно заносит сигнатуры программного обеспечения для промышленной автоматики в базы Касперского...
но с этим надо что то делать, иначе могут пострадать промышленные объекты...
Как никак но в Readme на некоторые продукты Сименса заявлена полная совместимость с антивирусом Касперского.
Просьба к соответствующим работникам Сименса и Лабораториии Касперского наладить контакт для добавления ПО Сименса в разряд неудаляемого и проверенного.
Сам пересылать гигабайты ПО Сименса в принципе могу... так как рутрекер загнобили вчера и оттуда вам его не скачать :(
Не знаю куда обращаться с такой глобальнейшей проблемой :dash1: Перешлите сообщение Гостеву - он вроде в этом направлении Stuxnet'ы ещё копает.
Ссылка на комментарий
Поделиться на другие сайты
Simaticov Новичок

Simaticov

Опубликовано
  • Автор
Опубликовано

 

самостоятельно добавить вручную в исключения

Проблему надо решать глобально - завтра с утра программисты-автоматчики включат компы... и оппа...

Почему не выводятся подробности об удаляемых файлах, чтобы их можно было легко идентифицировать в других местах (архивах/инсталяторах) ?

 

Почему я не добавляю в "исключения" ?

А как бы я находил такие ошибки в работе антивируса Касперского ?

0d2162b368ddt.jpg

Ссылка на комментарий
Поделиться на другие сайты
Elly Мудрец

Elly

Опубликовано
Опубликовано

Вы писали в тех.поддержку по поводу ложного срабатывания?

Если писали, но напишите номер обращения.

так как вопроса топик не содержит, то переезжаем в другой раздел.

Ссылка на комментарий
Поделиться на другие сайты
Денис-НН Корифей

Денис-НН

Опубликовано
Опубликовано

 

 

самостоятельно добавить вручную в исключения

Проблему надо решать глобально - завтра с утра программисты-автоматчики включат компы... и оппа...

Почему не выводятся подробности об удаляемых файлах, чтобы их можно было легко идентифицировать в других местах (архивах/инсталяторах) ?

Так решите глобально. Отправьте файл в вирлаб, с пометкой "ложное срабатывание" http://newvirus.kaspersky.ru/

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@Денис-НН, быстрее будет через техническую поддержку.

@Simaticov, вроде вы уже один раз писали на официальном форуме. 

Создайте запрос в техническую поддержку и приложите все ложно удаленные файлы в архиве с паролем: infected +скриншоты детектирования.

Пусть ТП их отправляет в Вирлаб.

Ссылка на комментарий
Поделиться на другие сайты
MedvedevUnited Ветеран

MedvedevUnited

Опубликовано
Опубликовано

Здравствуйте!

 

Передали информацию ответственным сотрудникам. Предлагаю оставить какую-то одну тему, например, на официальном форуме (http://forum.kaspersky.com/index.php?showtopic=331773), и вести дальнейшую переписку там, а эту закрыть.


Это было ложное срабатывание. Файлы добавлены в белый список модуля проактивной защиты.

Детектирование прекратится в течение 6 часов.

Ссылка на комментарий
Поделиться на другие сайты
MiStr Корифей

MiStr

Опубликовано
Опубликовано
Предлагаю оставить какую-то одну тему, например, на официальном форуме (http://forum.kaspersky.com/index.php?showtopic=331773), и вести дальнейшую переписку там, а эту закрыть.

 

Предложение принимается, тема закрыта.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Уловки целевого фишинга в массовой рассылке | Блог Касперского
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • ДанилКО
      [РЕШЕНО] Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • JohnYakuzer
      Касперский нашёл вирус HEUR.Trojan.Multi.GenBadur.genw
      От JohnYakuzer
      После сканирования всего пк касперский находит этот вирус в системной памяти. После лечения вирус так же остается в системе.CollectionLog-2024.10.22-15.33.zip 
    • Ari_x_100
      Не устанавливается антивирус
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Genom45
      Не устанавливаются антивирусы
      От Genom45
      Приветствую, перепробовал все возможные портейбл версии антивирусов, AVbr просто не запускается, касперский выдал пару вирусов, тоже сделал и curiet. Проблема осталась 
       
×
×
  • Создать...