Признать невиновными

Пример экспертизы вирусозависимого компьютерного инцидента

С корпоративного счета исчезла крупная сумма. Никаких операций с наличными не было, со дня основания компании все расчеты велись только через систему дистанционного банковского обслуживания. Никто из сотрудников, имевших доступ к ДБО, никак не мог объяснить исчезновение денег, поэтому владелец пострадавшей компании заказал в «Доктор Веб» услугу экспертизы компьютерного инцидента.

Задача для экспертов

В ходе экспертизы специалистам «Доктор Веб» было поручено проверить предположение о том, что средства были похищены в результате взлома системы ДБО с использованием вредоносного программного обеспечения.

Перед экспертами был поставлены следующие задачи:

• изучить жесткие диски компьютеров, с которых велась работа в системе ДБО, и установить наличие/отсутствие на них вредоносного ПО и следов деятельности злоумышленников;
• проанализировать действия персонала на предмет причастности к инциденту;
• дать рекомендации по организации антивирусной системы защиты компании для предотвращения подобных инцидентов в будущем.

Для изучения обстоятельств исчезновения средств все системные блоки компьютеров, с которых велась работа в системе ДБО, были опечатаны и отправлены на изучение экспертам «Доктор Веб».

В результате исследования на АРМ (автоматизированном рабочем месте) главного бухгалтера были обнаружены следы банковского троянца, проникшего в систему с помощью троянца-дроппера.

Вероятно, бухгалтер или другой работник компании, работавший на ЭВМ в системе ДБО, допустил неосторожное обращение с поступившей корреспонденцией по почте или использовал непроверенный флэш-накопитель, что могло послужить причиной возникновения инцидента и проникновения дроппера.

Кроме того, на компьютерах бухгалтеров пострадавшей компании было установлено бесплатное антивирусное ПО, которое не смогло детектировать дроппер.

В результате банковский троянец проник в систему и передал на удаленный сервер данные, необходимые для входа в систему и кражи средств.

Результат экспертизы

• По результатам экспертизы в пострадавшую компанию был представлен подробный отчет, в котором содержались описание действий вредоносных программ в системе клиента и перечень файлов, оставшихся на атакованном компьютере вследствие действий троянца. Описание дроппера, составленное в «Доктор Веб», позволяет установить его происхождение и связь с сетевыми адресами, используемыми злоумышленником, что позволит правоохранительным органам осуществить мероприятия по его установлению.
• Специалисты «Доктор Веб» подготовили для пострадавшей компании рекомендации по усилению безопасности систем, на которых функционировало ПО системы ДБО.
• Вместо бесплатного антивируса была временно установлена демолицензия Dr.Web Security Space, клиент выбрал поставщика для развертывания корпоративных антивирусных продуктов Dr.Web для защиты сервера и почты.

Предположения бизнесмена, заказавшего экспертизу в «Доктор Веб», подтвердились: средства компании были похищены с помощью вредоносного ПО. К краже денег персонал причастен не был, однако заражение системы, скорее всего, произошло по вине персонала.

Если произошла нештатная ситуация (пропали деньги или данные, утекли пароли к корпоративным ресурсам, компьютеры работают с перебоями и т. д.) и вы предполагаете, что причина в действиях вредоносного ПО, закажите экспертизу ВКИ в компании «Доктор Веб». 28 лет опыта в антивирусной отрасли и наши эксклюзивные методики обнаружения новейших угроз помогут разобраться в произошедшем, а наличие специального оборудования, позволяющего снимать информацию в соответствии с установленными законом процедурами, обеспечит неопровергаемую доказательную базу в суде.

Отправить заявку на экспертизу

Подробнее об экспертизе