Заражение при RF на кат. Кто дурак??

[Музалёв Николай]

Уважаемые коллеги!
Намедни получил ситуацию, которую не могу объяснить.

Картинки в ЗИП-архиве (46К) здесь

На сервере установлен антивирус eTRUST.
Базы новые, вчерашние.

Время от времени мои прямоходящие притаскивают какую-нибудь дрянь, которую ДрВеб на рабочих станциях не отсекает и тогда серверный авирус настроен просто прибивать такие заражённые файлы, как правило это ЕХЕ формат.

Но всегда происходило в их домашних каталогах или в кат. общего доступа.

Но каталог STN - только для чтения. Это подтвердила и винда и утилиты Бэрда...

Более того, проверив эти права "в теории" я подошёл к UVA и прямо с его маш. попробовал записать-стреть-отредактировать в этом каталоге (ТоталКоммандером).

Естественно, и на создание-модификацию , и на удаление получил запрет...

Вопросы:
- как бы это могло быть: прямоходящий не имеет прав в каталоге, но от его имени происходит заражение?

- или же где-то протечка прав и тогда второй вопрос - чем ещё можно посмотреть окончательные права?

- или же серверный антивирус подработал и взял пользователя "с потолка"?

Спасибо.

[Сергей Дубовский]

А это не могло быть ложное срабатывание антивируса?
Каспер как-то помнится "консультант плюс" прибивал...

[Владимир Горяев]

Посмотри наследуемые права и фильтры.
Еще может быть кто-то, имеющий право, до того записал заразу на сервер, а антивирь не видел (напр был остановлен или базы старые), а после при обращении пользователя на чтение обнаружил и прибил.

[skoltogyan]

или заражение с машины за которой логинилсь в сеть как admin

[Влад А.Сокол aka Akina]

Скрины показывают, что:

1) Данный юзер в данном каталоге имеет RF;
2) Файл с вирём был прибит при попытке обращения к нему юзера.

Отбрасывая сказки про барабашку, можно предположить один из вариантов:

1) Файл уже был в каталоге до того, как к нему обратился юзер.
Т.е. кто-то, имеющий право записи в каталог, когда-то положил в него зараженный файл либо заразил уже лежавший там чистый файл, причём на тот момент этот вирус не детектировался. И файл с заразой лежал себе спокойно до тех пор, пока к нему не обратились. Первое же обращение вызвало детект и удаление.
2) Файл уже был в каталоге, а со станции юзера было выполнено его заражение, при этом по неизвестной причине именно на этот файл (прямым назначением или по эквивалентности) у юзера были права на его модификацию.

Более определённо можно что-то сказать, если получить информацию о:

1) дате-времени создания файла и логине создателя;
2) дате-времени модификации файла;
3) легитимности файла (этот файл должен был лежать в каталоге, но незараженный, или его там не должно было быть).

[Музалёв Николай]

Спасибо всем!
Да, скорее всего было предварительное заражение , затем файл лежал себе, лежал... И в момент обращение (возможно, просто сканировался каталог) его и прибило.