Клиент Сбер-онлайн запускается с "флешки" Сбера. Сегодня утром у 2х бухгалтерий началась ругань от DrWeb, что в start.exe обнаружен trojan.gbpboot. Тупая техподдержка Сбера предлагает либо отключить DrWeb, либо поставить start.exe в исключение, типа "обновились базы DrWeb, теперь их клиент попал под раздачу". Техподдержке Сбера я нифига не доверяю, ибо не раз натыкались на полную некомпетентность.

Внимание, вопрос: есть у кого-то еще такое?

третья флешка есть ? Чтоб сравнить файл start.exe ?

(1) если я правильно помню, память на ключе на запись недоступна, так что верить сберу в данном случае можно. А зная какое глюкало веб, почему-то я верю безоговорочно.

если использовать технологию directBank --- запуск клиент банк отпадает ?

(0) Ну для начала надо взять оригинальный файл и посмотреть будет ли ругаться на на него Др.Веб.
Если будет ругаться - все нормально.

(3) Что за "directBank"? У Сбера с флешки какой-то свой шифрующий прокси запускается, вся работа идет через него.

(4) Что такое "оригинальный файл"? start.exe записан на фирменном токене Сбера.

(2) А при чем тут глючность антивируса?
Работа антивируса смотреть не попадает ли исполняемый файл под какую-нибудь сигнатуру, если попадает то он должен  ругаться. Для этого его и держат.

(6) Попробуй другими антивирусами проверить. Возможно, действительно косяк дрвеба.

(7) Только от шифровальщиков drweb не спасает.

(5) можно из 1с грузить платёжки в банк сразу без промежуточного файла

http://v8.1c.ru/edi/edi_app/bank/

(7) Именно с вебом такого рода проблемы были неоднократно. Самая дурная ситуация которую я видел - веб сносил только что мною написанный VBS скрипт :))

(6)Ну если это токен, а не флешка, т.е модифицировать файл не представляется возможным, тогда еще проще.
Забить на предупреждение антивируса, если специалисты сбербанка говорят что все нормально.

странно, в ссылке из 10 сбера нет

хотя на нём же 1с-ка экспериментировала

(9) спасает белый список

(9)Разумеется он и не должен.
Антивирус обнаруживает вирусы.
А большинство шифровальщиков вирусами не являются.

(2) +1

Взять например любой клиент удаленного доступа вроде тимвьювера. Его сигнатура должна быть в базе антивируса - т.к это по сути троян. И антивирус должен ругаться на него.

А вот чтобы не ругался, производитель должен обратиться и доказать что это вполне легальное ПО.

(17) я не знаю кто кому чего должен, я знаю что лично у меня как у конечного пользователя с этим антивирусом были подобные проблемы. А с касперским, к примеру, не было. Просто пишу про свой собственный опыт.

(12) Если завтра окажется, что это таки очень умный троян и все ключики уплыли в неизвестном направлении, а на счетах нули, то куда мне ходить жаловаться?

А то вон в новостях регулярно пишут про вирусы для банкоматов и POSов.

(19) Другие антивирусы что говорят на этот файл?

(19) тебя уже это касаться не будет =)

(19) у тебя ед. выход отправить файл в Др.вэб и спросить че за х..

(19) память ключа защищена от записи. Вебу нельзя однозначно верить в его диагнозах, потому что есть случаи ложных срабатываний. Можно скачать другие антивирусы и проверить ключ. Сбер сказал, что срабатывание ложное. Чем еще помочь... не знаю.

вирустотал молчит

(0) попробуй закинуть файл в он-лайн проверку касперскому к примеру

(19)В сбербанк.

(20)Так большая часть банкоматов работает на Windows XP или Windows CE.
Обычные вирусы под винду, только заточенные для работы со спец софтом и оборудованием.

(0) я удалил сбербанковский клиент для физлиц со смартфона. по причине наличия непонятной активности в фоне... криворукие товарищи пишут ПО.

(29) Вообще банковские клиенты для смартфона это зло.
Непонятно для чего их устанавливают.

dr web всегда не внушал доверия...

(31) Один из лучших антивирусов, для очистки зараженных компьютеров.

А вообще наличие какого либо онлайн антивируса кроме встроенного майкрософтовского считаю излишним и ненужным.

(30)(32) тебя послушать и пользователей лучше от компа подальше держать )

(29) > я удалил сбербанковский клиент для физлиц со смартфона. по причине наличия непонятной активности в фоне

В клиент для Android у них встроен антивирус Касперского, который проверяет весь устанавливаемый и обновляемый софт. Скорее всего это и была "непонятная активность".

(33) В идеале - так оно и есть. :)

(33)С чего такой вывод?
Банковский клиент на смартфоне держать не очень умно, т.к там все неочевидно с правами доступа левых приложений. Сложно настроить безопасную работу.
Зачем нужен клиент? Заплатить можно просто картой.

А сторонние антивирусы под винду - какой смысл?
Встроенный отбивает большую часть угроз, базы у него ничуть не хуже чем у других. А остальная безопасность настраивается другими средствами, все равно антивирус не поможет.

(33) в ряде случаев верно. Если человек за неделю делает из андроид-смартфона помойку - то, мне кажется, здесь медицина бессильна и просто нужно пользовать кнопочный телефон. А таких большинство.

я то вас понимаю, но пользователи вас не поймут )))

банковский клиент по всей видимости нужен для удобства... и в нем можно не только оплатить, что обычно через карту и через клиент не очень то и удобно.

(34) откуда информация, что у них в клиенте есть антивирус? проблема даже не в непонятной активности, а в 100% занятости процессора с минимальным откликом на интерфейс...

>>Внимание, вопрос: есть у кого-то еще такое?
онли каспер, не гоже у этих быдланов антивири покупать

(38) Хм, а что именно за удобства в банк клиенте для частного лица?
Для организации это понятно.
А для частника? Я его использую только для того чтобы перегнать деньги со счета на карту, либо на карту другого человека. Это требуется нечасто, на ходу как правило такое не требуется. Можно прийти домой и перевести.
А все срочные платежи -  вбил в браузере номер карты и csv и готово.

(41) у меня сайт сбера работает криво на любом браузере. плюс работа со вкладами и историей была на андроиде. но сейчас я удалил его везде. такое приложение с деньгами и непонятной активности мне не нужно. я к сберу изначально плохо отношусь в любых смыслах, но иногда особого выбора нету...

я бы и не выявил активность, если бы девайсы со Snapdragon 800 не стали беспощадно тормозить...

(0) странно. "мои" ни кто не жаловался (пока, тьфу-тьфу-тьфу). Стоит DrWeb корпоративный.

Коллега высказал интересную идею:
Некто берет exe-файл от клиента Сбера, "подмешивает" туда вредоносный код и отправляет этот файл антивирусникам. Те проверяют, заносят сигнатуры в свои базы, базы прилетают к пользователям, те вынуждены вносить файл "start.exe" в белые списки. Теперь этот некто может смело запускать троян с названием "start.exe" в народ, который с большой степенью вероятности будет антивирусом пропущен.

(45) идея выглядит несколько странно, потому что для антивируса делать проверку попадания в белый список только по имени файла как минимум опрометчиво. Насколько я знаю, касперский хранит в дополнительных потоках электронные подписи (iSwift) файлов, и они участвуют в подобного рода сравнениях. Если файл с тем же именем, но "левый" - подпись не совпадет.

(46) Корпоративному DrWeb достаточно в консоли управления прописать имя и, опционально, путь к файлу. Сам файл ему не нужен.

(45)Идея бредовая.
В белый список пишется полный путь к файлу, название файла в принципе не имеет значения.

Т.е нельзя занести в белые списки start.exe
Можно занести только c:\Directory\start.exe

(42)У меня сайт сбера работает отлично.
В качестве браузера использую исключительно огнелиса.
По функционалу там конечно бывают претензии, но работает всегда четко и без глюков.
У них раньше были проблемы, сейчас все четко работает.

(7) Притом, что, во-первых, сигнатуры надо правильно составлять, а, во-вторых, есть еще и параноидальный эвристический анализ. Помнится, именно DrWeb после очередного обновления стал в каждом втором экзешнике видеть Win95.CIH, хотя Adinf рапортовал, что файлы не изменялись, и 26-е число комп неоднократно переживал.

(15) Троян - тоже не вирус. Что же он обнаруживает?

(17) В анал такой антивирус. От ложноположительных срабатываний вреда не меньше, чем от несрабатываний.

(53) А как ты отличишь троян от программы для удаленного доступа?
Функционал одинаковый разница исключительно в том что про троян пользователь не знает, а про программу удаленного управления знает.

Т.е  отличить троян от нормального софта удаленного управления можно только спросив пользователя.

То же самое с шифровальщиками.
Ну шифрует что то программа - и что это вредно или полезно?
Программно то это не определишь.

Поэтому толку от любого антивируса очень мало. Почти никакого.
Отсюда вывод - все эти крутые платные антивирусы это просто деньги на ветер.

(51) Эвристика срабатывает на каких то хитрых и не свойственным нормальным программам действиях.
Например попытки повысить права,  влезть в память другого процесса, подменить системные файлы, и.т.п.
Если программа ведет себя прилично то эвристика ничем не поможет.

(54) Кто не хочет - ищет причины. Как правило, шифровальщик и троян от легальных программ отличаются чуть менее чем полностью. Поэтому шифровальщик - это шифровальщик, а легальные программы - просто PUP. А так - можно дойти до того что все программы используют одни и те же инструкции процессора. Как различить - какие вредные, а какаие полезные?

(55) У этого доктора неоднократно была замечена параноидальная эвристика.

(56) Чем конкретно шфировщик отличается от легальной программы?

(57) Наверное тем, что он шифрует нелегально. А легальные программы шифруют санкционарованно :))

Вот я своим клиентам отправляю программу, которая шифрует их файлы, и сливает на сторонний сервис.
По функционалу - явно шифровщик и троян в одном лице.
А по факту это сервис бэкапа.

(58)Так о чем я и говорю - все дело в том знает ли пользователь о том что программа делает, и согласен ли с этим.

Если знает и согласен - это хорошая программа.
Если не знает и не согласен - вредный шифровщик.

Вывод - определить можно только спросив у пользователя.

(60) А самое прикольное, что большинство шифровщиков таки спрашивают у пользователя разрешения :))

(61)Да, как правило это простой исполняемый файл без всякого хитрого функционала. И пользователь его запускает сам.

Сверка_взаиморасчетов.exe  и в качестве иконки при создании эксешника используется стандартная экселевская иконка.
В результате обычный пользователь считает что это файл экселя.

(39) > откуда информация, что у них в клиенте есть антивирус?

http://sberbank.ru/ru/promo/android
Теперь в мобильное приложение встроен антивирус....

Причем довольно давно. Подробнее можно поискать новости на эту тему. Типа единственный в своем роде мобильный клиент банка, где есть встроенный антивирус. Этим встроенным антивирусом является Каспер.
При первой установке приложения СбербанкОнлайн он проверяет весь смартфон. В дальнейшем - каждое устанавливаемое или обновляемое приложение. Не исключено, что, кроме проверки приложений, он контролирует еще какие-либо события в системе.

Заслать "подозрительный" файл DrWeb-у и ждать исправления ложного срабатывания уже предлагали?

ЗЫ Если действительно сабжевый файл чист и не уникален, то обращений в DrWeb о ложном срабатывании будет больше чем одно, что ускорит выпуск антивиром нужной поправлялки до чуть ли не во вчерашнем обновлении.

(63) это какой-то садомазохизм. об этом надо предупреждать при установке, а не в виде "промо" новых функций...

(64) Суть в том, что это — клиент-банк. Что это значит для предприятия расшифровывать, надеюсь, не надо? И ждать, пока DrWeb ответит "от 48 часов и больше" ни одна нормальная организация не будет.

И это приложение, которым не 2.5 человека пользуются, а несколько миллионов ежедневно.

(57) Бинарным кодом. На основе которого и формируют сигнатуры.

(66) Так а в чем проблема то?
DrWeb - предупредил вас о возможной угрозе.
Сбербанк сказал что угрозы нет.
А что делать и как реагировать это уж ваше дело.
Вы считаете что  DrWeb должен перед вами отчитываться почему он считает это угрозой?
Или вы считаете что сбербанк должен разбираться с DrWeb по поводу срабатывания защиты?

Вообще сбербанку и ДрВебу должно быть пофигу друг на друга.
Доверяете антивирусу - откажитесь от сбербанка.
Доверяете сбербанку - откажитесь от антивируса.

Чем вы недовольны?

(69) вебу может и пофигу, но я просто в следующий раз проголосовал бы рублем и не купил веба. И знакомым не посоветовал бы, если они хотят чтобы платежи нормально проходили. А так да, пофигу.

(70) А я давно уже проголосовал рублем за встроенный в windows антивирус, тот который МSE.
И совсем не понимаю зачем платить за DrWeb или касперского.

(32) поставил жене на ноут тестовый с сайта посмотреть как работать будет, после лиц КИСа работает быстрее ноут. Но словила какую то шнягу... через 4 дня. Удалил.

злые языки клевещут

06 Октябрь 2015 - 09:34
на антивировском форуме обозначили сабжевую траблу
http://forum.drweb.com/index.php?showtopic=322737&page=1#entry784266

06 Октябрь 2015 - 11:00
на антивировском форуме подтвердили о разруливании сабжевой траблы
http://forum.drweb.com/index.php?showtopic=322737&page=1#entry784284

(69) Проблема в том, что мы платим деньги туда и сюда. Если антивирус "ошибочно" блокирует ПО, которым пользуются миллионы, и на которое завязаны реальные деньги — это проблема антивируса. И да, я считаю, что он должен отчитываться.

(74) Они свои долги простили всем ;)

>Если антивирус "ошибочно" блокирует ПО, которым пользуются миллионы, и на которое завязаны реальные деньги — это проблема антивируса.

читайте лицензионное - там все написано

касперский походу в очередной раз своим конкурентам подкинул базы сигнатур с закладкой )))

(76) Лицензионное — это прекрасно. Мне только непонятно за что Я получил выговор.

>Мне только непонятно за что Я получил выговор.

казалось бы - причем тут Dr. Web... Это ваши взаимоотношения с работодателем. За которые антивирь никакой ответственности не несет

почему вы от всех хотите чтобы они действовали в рамках правил и законов, а к вам - по справедливости?

(79) Я получил выговор за срыв в работе бухгалтерии по вине антивируса.

И формально работодатель прав. А я не буду продлевать договор с DrWeb на следующий год. Вот и всё. И кто в минусе?

(81) подавай в суд на работодателя... в вэб можно привлечь как свидетеля или типа того

>И формально работодатель прав.

он прав в том что наказал тебя. А ты не стал решать вопрос, а спрятался за "рекомендацию" софта

(83) Ты не вкуриваешь ситуацию. Бросать всё ради одного инцидента? Мне проще DrWeb послать нахер.

жираф большой, ему видней

(82) чуть позже разочаруешься и в другом антивире ) забей, работодатель разок встретится с письмом счастья, который подкосит все сервера и вспомнит о тебе )

>Ты не вкуриваешь ситуацию. Бросать всё ради одного инцидента?

т.е. утерся и пошел дальше... к чему тогда эти истерики?

а dr. web просто есть не может, сидит и переживает - как он без ваших денег

(70) каждый решает сам. Лично мне после 12 лет опыта с разными компами в разных организациях думается, что платить за корпоративного касперского смысл есть. Жить в одном коллективе с безголовыми юзерами после установки становится несколько спокойней. И при этом практически не наблюдается косяков типа описанного в данной ветке.

(87) Вы чет не догоняете. С точки зрения бизнеса, ИТ — это функция. И бухгалтерия, и логистика, и подажи, и т.п. Продажи — основная. У нас могут быть прекрасные отношения на "человеческом" уровне, но если бухгалтерия вовремя не отправляет платеж — это проблемы бухгалтерии, если груз вовремя не попадает на склад — это проблемы логистики, если программа не работает — это проблема ИТ. И виноват при этом руководитель департамента — он не обеспечил выполнение подразделением своей функции. У нас виновных ищут не для того, чтобы наказать, а чтобы поставить "патч" в систему, чтобы решить проблему комплексно, а не разово.
Так что мне проще отказаться от ПО, которое не соответствует моим требованием, чем искать оправдания.

(81) сочувствую вам.

>Так что мне проще отказаться от ПО, которое не соответствует моим требованием, чем искать оправдания.

сам выбрал, сам поставил, сам провалил ситуацию - теперь гордо отказывается - "софт г.вно"...

осталось выйти из-за угла с апельсином в руке в белом

(90) Ну так отказывайся, чо. и от антивирусв и от клиента банка такого. Последствия за свой счет.

(92) 9 лет работало — таких фейлов не было. Видимо, пришло время задуматься.

(94)+ Не то, чтобы вообще не было. Вопрос ведь в стоимости фейла. Для бизнеса, не для меня. Тут она была довольно высокой, чтобы задуматься.

(94) посмотрите в сторону KES. Проблем с банк-клиентами (Сбер-офлайн, сбер-онлайн, банк Москвы, ВТБ) не было. Уровень перехвата угроз - очень неплохой, случаи пропуска были, но их за много лет можно было пересчитать по пальцам. Много полезных плюшек типа блокировки USB-устройств. Может, он и не подарок, но лучше я пока ничего не видел.

(94) угу... позиция "первый после бога" - она такая... дыма без огня не бывает - что-то упускаешь

То что память на токене недоступна для записи - частичный миф. Можно конечно физически сделать токен недоступным для записи, но с этим мало кто занимается. Обычно просто ФС сообщает ОС о том, что она "рид онли", а вирусня может и драйвер подменить для работы с такими ФС.

терзают смутные сомнения: с какой целью держать антивир на рулящем платежами компе?
^^

(99) А у вас бухгалтера электронной почтой и флешками не пользуются?

(100) зависит от (например, от осознания (99))
распределение примерно как про бэкапы

(99) потому что за этим компом, как правило, работает такая же овечка остальные, котой надо лазить по сайтам со всяким хламом, вставлять флешки с чем попало и т.д. А заражение такого компа вредоносным ПО между тем чрезвычайно опасно. В том числе и для попы сисадмина.

* как остальные

(102)
> В том числе и для
это если он на свой страх и риск разрешил и обеспечил возможность "лазить по сайтам со всяким хламом, вставлять флешки с чем попало и т.д.", не?)

Допустим, флешки с чем попало никто не сует. А несколько "приветов" из каких-то фондов ловили, было дело.

(82)У антивирусной компании в этом случае два варианта.
1)пропускать угрозы и помалкивать.
2)сообщать об угрозах не взирая на лица.
Больше вариантов нет.

Компания выбрала второй вариант, что вполне логично.

И непонятно с чего у вас образовался срыв работы бухгалтерии.

бывает что вместо флешки суют целый сервер... купили организацию и хватило ума воткнуть ее "сервер" в лок. сеть (так сказать во внутренний периметр). а там вирус который на экземплярах sql живет, долбится списком юзеров из AD с попыткой подбора пароля... юзеры лочатся, сервисы падают, сеть еле ползает от левого трафика... одмины 1,5 дня жили в офисе

(107) +1

платежки в зубы и в банк

Просто надо четко понимать - нет у нас таких технологий чтобы четко и однозначно определить вирус или зловредную программу.

Если антивирус сообщает об опасности это всего лишь значит что возможна угроза, и только.
Это ни в коем случае не значит что угроза есть гарантированно.

И наоборот-
Если антивирус молчит, это не значит что все хорошо и никаких угроз нет.

(0) Меняйте банк.

(110) Жуть какая-то... А как складывать числа просвятишь форум?!

(112) Не понял смысла вашего высказывания.
Где жуть? И в чем?
С чем конкретно не согласны?

(106) Да нет, это бардак, конечно. Я бы еще понял, если бы это была какая-то редкая приблуда, которую использует полторы калеки. Но извините, здесь софт, которые используется в куче организаций по всей России. Я думаю, речь идет процентах о 50. Патч должен был быть выпущен в течение пары часов, не больше! И рассылка должна была быть, с извинениями. Это было?

(114) если "речь идет процентах о 50", то где цунами возмущенных постов?)

(100) На компе с банк-клиентом? Не должны. Тот комп должен быть доступен только после записи в журнал у охранника с полным логированием действий.

(110) Технологии есть - личный отдел специалистов по анализу ПО, и допускать ПО только после сертификации этим отделом. Правда, и цена соответствующая.

(114) Скорее всего проблема была только с одной какой-то версией, а поскольку этих версий может быть больше чем дофига - то реально проблемы испытали всего несколько процентов. Причем бОльшая часть админов ее тут же решили по-тихому вместо того чтобы писать на форумах...

(116) да это понятно что не должны, но идеального мира не существует. Поэтому я, например, рассматриваю вариант виртуальную машину под это дело запускать. Т.е. со своей машины человек лазит в инет, все такое, а когда нужно платежи делать - виртуалку запускает. С которой нельзя будет лазить никуда кроме как в банк-клиент, и на которой будут запрещены все ненужные службы, которые могут принимать входящие подключения. Оставлен только минимум для исходящего соединения с банком. Кстати, хорошая задумка для банков! Готовили бы людям дистрибутив на флешке с такой суперзащищенной осью, предустановленным клиентом и отдавали бы. Лучше всего чтобы это линукс был. Грузится, получает адрес по DHCP, запускается приложение банк-клиент - и вперед.

из-за чего у людей проблемы - из-за того что в оси вирусы и трояны. Так что мешает вместе с банк-клиентом давать подготовленную ось?

(119) У меня такое реализовано на терминальном сервере.

(113) "Просто надо четко понимать" когда играть роль Капитана Очевидность, а когда нет.