Пришло письмо с вложением. Письмо было окрыто, но сработал антивирус. Можно ли узнать каким образом действует вирус в нем? [Trojan.JS.Agent.civ
]
Приветствую.
Недавно получили письмо с содержимым в архиве zip, письмо было в тему как говорится и его открыли. Антивирус сработал и удалил вредоностный код. Но все равно присутствует беспокойство, можно ли выслать Вам на анализ содержимое письма? Хотелось бы понять что там сидит и как действует?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Эдуард Сваринский, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Ufasoft\Sniffer\wep_decrypt.exe','');
QuarantineFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','');
DeleteFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','32');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Карантин загрузил, лог прилагаю. Подозрения, что данный вирь отправил данные об мини АТС куда то, так как был зафиксирован автодозвон на номера зоны европа2. (Монако)
Станция находится на отдельном IP вне сетки офисной и там больше ни чего не висит. Цепляюсь к ней через интерфейс програмный отдельно переключившись физически в другую сетку. Может быть вирь собрал инфу об IP станции и подобрали потом пароли (как вариант) Хотя помимо пароля на атс есть еще и пароль на поток отдельный.
Проблеммы нет, просто нужно знать что делает данный вирус и мог ли он повлиять на доступ к потоку атс (взлом)
автодозвон был на номера Монако, было пресечено и ущерб минимальный. Станцию проверили все с ней норма по настройкам, сменил пароль на станцию, на поток, айпишник.
тоесть то, что пробралось на машину не могло являться причиной взлома атс?
просто 2й провайдер, поток которого подключен в атску не зафиксировал левого трафика
вот для себя хочу понять толи на нас сваливают свои косяки, то ли был доступ к нашему оборудованию но почему то не затронуло второй поток Е1. Думаю что если доступ был получен то использовали бы для автодозвона оба потока.
Повезло Вам, что антивирус сработал. Иначе бы информация зашифровалась, а всем контактам от Вас по email стал бы распространяться этот же вирус (получили Вы его ведь от известного Вам адресата )
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
нет от неизвестного, у нас в бд нет таких в сотрудничестве
бухи просто не просканировали вложение, а видя название акты сверок стали открывать
я вижу что вначале идет шифровальщик, там дальше еще есть вирь определяющийся как fakesys-d (авастом)
но cureit его видит по другому плюс я так понял там в свхост еще что то пытается ломиться извне
антивирус сработал ,плюс я прошелся еще утилитками везде для очистки
вроде больше ни куда не попало
Но вот автодозвон был в Монако с АТС, хотя второй оператор у себя не фиксировал активности по мг/мн
они оба с E1 потоком
вот возник у меня вопрос, к атс доступ был получен или все таки у оператора косяк
консультировался с людьми что занимаются на проф уровне атсками, проверяли все настройки и вывод один
если взлом и возможен, то сделать это очень сложно
тоесть данный вирь мог стащить данные от атс и потом к ней могли подобраться извне и подключиться? тогда почему не спамили все подключенные к ней потоки? после срабатывания антивиря сетку на машине я отключил и сразу же все вычистил. буквально пара минут прошла
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: