Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Признать невиновными

Пример экспертизы вирусозависимого компьютерного инцидента

С корпоративного счета исчезла крупная сумма. Никаких операций с наличными не было, со дня основания компании все расчеты велись только через систему дистанционного банковского обслуживания. Никто из сотрудников, имевших доступ к ДБО, никак не мог объяснить исчезновение денег, поэтому владелец пострадавшей компании заказал в «Доктор Веб» услугу экспертизы компьютерного инцидента.

Задача для экспертов

В ходе экспертизы специалистам «Доктор Веб» было поручено проверить предположение о том, что средства были похищены в результате взлома системы ДБО с использованием вредоносного программного обеспечения.

Перед экспертами был поставлены следующие задачи:

  • изучить жесткие диски компьютеров, с которых велась работа в системе ДБО, и установить наличие/отсутствие на них вредоносного ПО и следов деятельности злоумышленников;
  • проанализировать действия персонала на предмет причастности к инциденту;
  • дать рекомендации по организации антивирусной системы защиты компании для предотвращения подобных инцидентов в будущем.

Для изучения обстоятельств исчезновения средств все системные блоки компьютеров, с которых велась работа в системе ДБО, были опечатаны и отправлены на изучение экспертам «Доктор Веб».

В результате исследования на АРМ (автоматизированном рабочем месте) главного бухгалтера были обнаружены следы банковского троянца, проникшего в систему с помощью троянца-дроппера.

Функционал исследованной специалистами «Доктор Веб» вредоносной программы позволяет показывать пользователю поддельные поля аутентификации при подключении к системе ДБО. Программа запоминает нажатия клавиш и отправляет полученный логин и пароль злоумышленникам, которые таким образом получают доступ к системе ДБО и возможность совершать любые несанкционированные переводы.

Вероятно, бухгалтер или другой работник компании, работавший на ЭВМ в системе ДБО, допустил неосторожное обращение с поступившей корреспонденцией по почте или использовал непроверенный флэш-накопитель, что могло послужить причиной возникновения инцидента и проникновения дроппера.

Кроме того, на компьютерах бухгалтеров пострадавшей компании было установлено бесплатное антивирусное ПО, которое не смогло детектировать дроппер.

В результате банковский троянец проник в систему и передал на удаленный сервер данные, необходимые для входа в систему и кражи средств.

Результат экспертизы

  • По результатам экспертизы в пострадавшую компанию был представлен подробный отчет, в котором содержались описание действий вредоносных программ в системе клиента и перечень файлов, оставшихся на атакованном компьютере вследствие действий троянца. Описание дроппера, составленное в «Доктор Веб», позволяет установить его происхождение и связь с сетевыми адресами, используемыми злоумышленником, что позволит правоохранительным органам осуществить мероприятия по его установлению.
  • Специалисты «Доктор Веб» подготовили для пострадавшей компании рекомендации по усилению безопасности систем, на которых функционировало ПО системы ДБО.
  • Вместо бесплатного антивируса была временно установлена демолицензия Dr.Web Security Space, клиент выбрал поставщика для развертывания корпоративных антивирусных продуктов Dr.Web для защиты сервера и почты.

Предположения бизнесмена, заказавшего экспертизу в «Доктор Веб», подтвердились: средства компании были похищены с помощью вредоносного ПО. К краже денег персонал причастен не был, однако заражение системы, скорее всего, произошло по вине персонала.


Если произошла нештатная ситуация (пропали деньги или данные, утекли пароли к корпоративным ресурсам, компьютеры работают с перебоями и т. д.) и вы предполагаете, что причина в действиях вредоносного ПО, закажите экспертизу ВКИ в компании «Доктор Веб». 28 лет опыта в антивирусной отрасли и наши эксклюзивные методики обнаружения новейших угроз помогут разобраться в произошедшем, а наличие специального оборудования, позволяющего снимать информацию в соответствии с установленными законом процедурами, обеспечит неопровергаемую доказательную базу в суде.

Отправить заявку на экспертизу

Подробнее об экспертизе