HOSxP Version 3.54.1.2x กับ Sophos

[udomchok]

วันนี้ (26/01/54) งานเข้าแต่เช้า...ถูกโทร.ตามตอน 6 โมงเช้า ได้รับแจ้งว่าห้องบัตร print เอกสารจากระบบไม่ได้ เพราะเครื่องที่ต่อ printer แล้ว share ไว้ connect HOSxP ไม่ได้ บอกว่าหา libmysql41.dll ไม่เจอ
หลังจาก remote ไปดูแล้ว ไม่สามารถทำอะไรได้ ...โชคดีที่อยู่ใกล้...ก็เลยขับรถไปดู พบว่าหน้าจอแจ้งว่าไม่พบ libmysql41.dll ทุกเครื่องที่ login เข้า HOSxP วันนี้ แต่เครื่องไหนที่เปิดใช้อยู่ยังใช้งานได้ หรือเครื่องไหนที่ version ต่ำกว่า 3.54.1.2x ก็ยังเปิดเข้าใช้งานได้ (พบว่า 3.54.1.5 และต่ำกว่าใช้งานได้...ไม่งั้นป่วนกว่านี้อีก)
- ลองทดสอบติดตั้ง 3.54.1.22 ใหม่ที่ห้องบัตรก็ใช้ไม่ได้อีก
- copy libmysql41.dll จากเครื่องที่เปิดใช้งานอยู่ มาใส่ใน C:\Windows\System32 ก็ยังใช้งานไม่ได้
- copy libmysql41.dll จากเครื่องที่เปิดใช้งานอยู่ มาใส่ใน C:\Program Files\HOSxP ก็ยังใช้งานไม่ได้อีก
เอาล่ะสิ...ทำไงดี

ลองติดตั้งใหม่ สังเกตว่าขณะติดตั้ง HOSxP 3.54.1.22 แล้ว Sophos ดักจับว่าเจอ virus และทำการลบแฟ้มนั้นทิ้ง ก็เลยคิดว่า libmysql41.dll น่าจะถูกลบในขั้นตอนนี้ แต่เอ... libmysql41.dll มันไม่ใช่ไวรัสนี่น่า แล้วจะไปถูกลบทิ้งได้ไง....
อ่ะ...ลองติดตั้ง HOSxP 3.54.1.22 ใหม่ ...ผลลัพธ์เหมือนเดิม

แย่ล่ะสิ....คนไข้มารอเยอะแล้วด้วย ระบบก็ยังใช้ไม่ได้ คลินิกรุ่งอรุณก็กำลังจะเปิด....จะไปประชุมที่ สวปก. ก็ต้องรีบไปแต่เช้า .... เอาไงดี....

[udomchok]

เดี๋ยวบันทึกวิธีการแก้ไขเสร็จแล้วจะมา post ต่อ

[Bordin]

เดี๋ยวบันทึกวิธีการแก้ไขเสร็จแล้วจะมา post ต่อ

ตามมากดดัน 

[burge]

งานเข้าเหมือนกันพี่

[Svl2Nuk3]

เคยเจอเหมือนกันครับพี่โก้   เจอที่ สอ.  แต่บังเอิญว่า copy  libmysql41.dll  ไปทับแล้วมันหาย  เลยรอดตัวไป   

แต่ยังไงก็มากดดันวิธีแก้ไขด้วยคนอีกคน  เผื่อจะเจอดี   

[udomchok]

แก้ไขเสร็จแล้วครับ แต่ขอเรียบเรียงเอกสารนิดหนึ่ง

[Noppadol]

ป๋าครับ..............Sophos เนี่ยป๋าใช้แบบไหนครับ................ผมกำลังสนใจอยู่เลย.........แนะนำด้วยครับ

[udomchok]

ป๋าครับ..............Sophos เนี่ยป๋าใช้แบบไหนครับ................ผมกำลังสนใจอยู่เลย.........แนะนำด้วยครับ

http://hosxp.net/index.php?option=com_smf&Itemid=28&topic=19422


=================================================
ขอบคุณน้า peenan ที่อุตส่าห์โทร.มาสอบถาม...ด้วยความห่วงใยครับ เจอปัญหาเดียวกัน

[chimchang]

ผมก็โดนเมื่อวานนี้ ตามมากดดันพี่โก้ ด้วย

[udomchok]

Wed, January 26, 2011 11:21:49 PM
RE: [#2644089] File sample submitted from the Sophos website
From:   
Phanusin Sywarungsymun <phanusin@wtec.co.th>
View Contact
To:   udomchok somwang <udcsw@yahoo.com>   
Cc:   Sophos <Sophos@wtec.co.th>
คุณโก้ครับ
 
จากตัวอย่าง Trojan ที่พบตามลิงค์ด้านล่างนั้น signature ออกมาวันที่ 25 ที่ผ่านมาก่อนเกิดปัญหาครับ
http://www.sophos.com/security/analyses/viruses-and-spyware/trojbancosbiz.html
 
ผมได้ส่งไฟล์เข้า labs ให้แล้วครับ เพื่อให้ทาง Sophos ตรวจสอบว่าเป็น false positive หรือไม่ ซื่งผลที่ออกมาคือ เป็น false positive ครับ
ต้องขอโทษด้วยครับที่ signature ไปตรวจจับไฟล์ library mysql connector ทำให้ระบบงานของโรงพยาบาลรันไม่ได้
ณ ตอนนี้ เมื่อ server update signature ใหม่เรียบร้อยแล้วก็จะไม่ตรวจจับไฟล์นี้เป็น Trojan อีกต่อไป
ทางคุณโก้สามารถจะ remove windows exclusion ทั้งในส่วน on-access scanning และ schedule scanning ใน  anti-virus and hips policy บน console ออกได้เลยนะครับ
แต่ถ้าไม่ต้องการให้ไปกระทบอีกก็ปล่อยไว้อย่างเดิมก็ได้ครับ
 
 
Best Regards,
 
Phanusin Sywarungsymun
ภาณุศิลป์ ศิวรังสิมันต์
Technical Manager
Sophos Division
 

WTEC Co.,  Ltd.
M: +66 (0) 8 0551 6052 | T: +66 (0) 2673 9484 Ext. 621 | F: +66 (0) 2673 9483
E: Phanusin@wtec.co.th
W: www.wtec.co.th
 

 
 
From: Sophos Support [mailto:supportasia@sophos.com]
Sent: Wednesday, January 26, 2011 2:35 PM
To: Phanusin Sywarungsymun; Sophos
Subject: Re: [#2644089] File sample submitted from the Sophos website
 
Hi Phanusin

thank you for your emails. This false-positive report should now have been corrected. Please do not hesitate to contact me if I can be of any further assistance.


Regards,

Martin Elliott
Sophos Technical Support
http://www.sophos.com/support/services/technical.html 

Support knowledgebase: http://www.sophos.com/support
Subscribe to email notifications: http://www.sophos.com/security/notifications
SophosTalk community (discussion forums): http://community.sophos.com

SOPHOS - simply secure


-----Original Message-----
From: phanusin@wtec.co.th
Sent: 2011-01-26 05:27 AM
To: supportasia@Sophos.com, Sophos@wtec.co.th,
Cc:
Hi,

Just follow up the case to see how is going?.
The signature that sophos launched 25 Jan 2011 which detects trojan bocon may be false positive. I'm not sure whether it detect correct or not. Customer has been using their library connector to mysql for so long until sophos distributed signature yesterday.

Please verify.

Phanusin

Sent from my BlackBerry® by dtac.

________________________________
From: Sophos File Samples
Date: Wed, 26 Jan 2011 01:19:43 +0000
To:
Subject: [#2644089] File sample submitted from the Sophos website


*NOTE: Please quote [#2644089] in the subject line of any further correspondence related to this query.

Thank you for submitting your sample(s). Our systems will analyze your sample(s) and return an automated response as soon as results are available. If you require assistance, or have any questions, please contact support@sophos.com.

Kind regards,

Sophos Technical Support
Support knowledgebase: http://www.sophos.com/support
Subscribe to email notifications: http://www.sophos.com/security/notifications
SophosTalk community (discussion forums): http://community.sophos.com

SOPHOS - simply secure

===================================================================================================
Disclaimer:
The information transmitted in this e-mail is intended only for the person or entity to which it is addressed, and may contain confidential
and/or privileged material. Any review, re-transmission, dissemination or other use of, or taking of any action in reliance upon this information
by persons or entities other than the intended recipient is prohibited. If you received this e-mail in error, please contact and inform the sender,
and delete the material from any computer.
WTEC Co., Ltd.
===================================================================================================

===================================================================================================
Disclaimer:
The information transmitted in this e-mail is intended only for the person or entity to which it is addressed, and may contain confidential
and/or privileged material. Any review, re-transmission, dissemination or other use of, or taking of any action in reliance upon this information
by persons or entities other than the intended recipient is prohibited. If you received this e-mail in error, please contact and inform the sender,
and delete the material from any computer.
WTEC Co., Ltd.
===================================================================================================

[doramon]

โดนทุก รพ เลยที่ใช้  ครับ
 

[udomchok]

มาแล้วครับ

โดนทุก รพ เลยที่ใช้  ครับ
 

แน่นอน...ตอนแรกว่าจะโทร.หา อ๊อด เหมือนกัน

[กรรมกรไอที]

ปกติ console ของโปรแกรมไม่มี list ไฟล์ที่ถูกตรวจจับหรือครับ ผมใช้ Kaspersky ยังไม่เคยเจอแบบนี้ครับ อาจเป็นการกำหนดนโยบายด้วยหรือเปล่า ที่เคยเจอเป็นโปรแกรมของ Chi โปรแกรมมองว่ามีพฤติกรรมของไวรัส sql injector แต่ระบุชื่อไม่ได้ เขาเลยกักกันไว้ก่อน เอาไว้ให้เราส่งเข้า lab หรือถ้าเรามั่นใจว่าไม่ใช่เราก็สามารถอนุญาตให้ใช้งานต่อได้ ตอนนั้นผมก็อนุญาตให้ใช้ก่อนเพราะคิดว่าไม่น่าจะใช่ไวรัส แล้วจึงส่งไฟล์ที่มีปัญหาไปยัง lab ของ kaspersky โดยตรง ประมาณ 2 ชม.ทาง lab ก็ส่ง def กลับมาให้เลยครับ

[udomchok]

ปกติ console ของโปรแกรมไม่มี list ไฟล์ที่ถูกตรวจจับหรือครับ ผมใช้ Kaspersky ยังไม่เคยเจอแบบนี้ครับ อาจเป็นการกำหนดนโยบายด้วยหรือเปล่า ที่เคยเจอเป็นโปรแกรมของ Chi โปรแกรมมองว่ามีพฤติกรรมของไวรัส sql injector แต่ระบุชื่อไม่ได้ เขาเลยกักกันไว้ก่อน เอาไว้ให้เราส่งเข้า lab หรือถ้าเรามั่นใจว่าไม่ใช่เราก็สามารถอนุญาตให้ใช้งานต่อได้ ตอนนั้นผมก็อนุญาตให้ใช้ก่อนเพราะคิดว่าไม่น่าจะใช่ไวรัส แล้วจึงส่งไฟล์ที่มีปัญหาไปยัง lab ของ kaspersky โดยตรง ประมาณ 2 ชม.ทาง lab ก็ส่ง def กลับมาให้เลยครับ

มีครับ แต่ผมยังหาจุดที่ exclude file นี้ไม่เจอ เพราะยังไม่คุ้นเคยกัน 555

[naj]

26-28 ม.ค54 ไปประชุม CARDIAC NETWORK FORUM ที่ จ.พิษณุโลกกับ Boss ไม่ได้อยู่ รพ โดนเหมือนกัน เลยต้องรบกวนน้า PeeNan ที่มาช่วยเหลือ ขอบคุณน้ามากครับ