McAfee Agent: come resettare l’agent GUID

Vi capita di aver clonato alcuni client con a bordo l’antivirus McAfee ma, nonostante funzioni tutto, non li rilevate nella console McAfee EPO e quindi non li riuscite a gestire?
E’ colpa del valore “AgentGUID” del componente McAfee Agent, valore identificativo univoco del computer per la console EPO, che non viene più modificato una volta che l’Agent viene installato: in questa situazione, clonando cioè un computer con già a bordo McAfee Agent, la EPO vede solo il GUID del primo computer che vi si collega, e non quello identico degli altri cloni.

Per risolvere il problema, e far sì che i cloni si registrino nella console EPO e possano quindi essere gestiti correttamente, è necessario resettare il valore “AgentGUID” sui client clonati con la seguente procedura:

  1. arrestare il servizio Windows “Servizio McAfee Framework”;
  2. aprire il registro di Windows (regedit) e andare su HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy OrchestratorAgent ;
  3. cancellare la voce AgentGUID (potete annotarvi a parte il valore per confontarlo successivamente e verificare che sia cambiato);
  4. chiudere il registro di Windows;
  5. avviare il servizio Windows “Servizio McAfee Framework”;
  6. aprire il registro di Windows e andare su HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy OrchestratorAgent per verificare che il valore AgentGUID è ora cambiato;

A questo punto, il client si registrerà nella EPO con il nuovo GUID e tutto funzionerà correttamente.

W32.Flamer: Enormous Data Collection | Symantec Connect Community

Articolo originale qui: W32.Flamer: Enormous Data Collection | Symantec Connect Community.

Una interessante analisi dei lab Symantec riguardo quali genere di informazioni il virus / worm “Flame” riesca a recuperare e rubare da un computer. E’ importante tenere presente che la stragrande maggioranza dei malware eseguono questo tipo di data harvesting dai computer infetti.
Guardate un po’ cosa rileva:

1_original
2_original
3_original
4_original

 

McAfee VirusScan Enterprise: Come ripristinare un file quarantinato

Spesso mi è capitato di dover recuperare dai computer di amici, parenti o colleghi sample di virus.
Oggi, invece, mi è capitato di dovere recuperare alcuni file legittimi messi in quarantena “per errore” dall’antivirus: mi è capitato, infatti, di dover ripristinare alcuni script VBS (da me creati) che McAfee VirusScan Enterprise 8.7 rilevava come pericolosi.
“Quale è la difficoltà?” vi chiederete voi: ebbene, i file non erano più presenti nella Quarantine Manager, ma solo nella cartella “Quarantine” sul disco fisso sotto forma di file con estensione BUP.
In aggiunta: i file che vengono quarantinati (i BUP) vengono anche crittografati.

Dopo alcuni momenti di disperazione nera, ho cercato in internet e sono riuscito a trovare, per mia fortuna, questo articolo sulla knowledge base di McAfee: How to restore a quarantined file not listed in the VSE Quarantine Manager.

Praticamente i file BUP sono archivi che contengono un file descrittivo dell’evento e del virus (file details) ed il file originale, cui è stato applicato un banale XOR con valore esadecimale 0x6a.
Con un apposito tool è possibile fare la reverse e recuperare il file.

PHEWWWW 😀

Windows: Sophos Virus Removal Tool 2.0 gratuito

Sophos ha rilasciato la versione 2.0 di “Sophos Virus Removal Tool”, tool di scansione antivirus per computer Windows che rileva virus, malware, rootkit e bootkit vari.
L’utility gira su WindowsXP, Windows2003, Vista e Windows7, pesa circa 83 MB (!) e funziona sia da GUI sia da riga di comando (SVRTcli.exe).
Si scarica gratuitamente da qui Sophos Virus Removal Tool.

Attenzione: questo tool non sostituisce un antivirus, esegue infatti solo scansioni manuali e non offre protezione in real-time per le minacce, ma è utile in caso di clean-up di pc infetti e/o infezioni di virus particolarmente duri da rimuovere.