-
Интересная ситуация
Интересная ситуация наблюдается.
Пришло письмо следующего содержания с вложенным файлом data.zip.
Subject: Encrypted Mail Service (Yahoo.com)
You have received Secure E-mail
To read the message open attached file.
User ID: 41792
Password: ef5d8cdc
Keep your password in a safe place.
Sincerely,
Encrypted Mail Service,
Yahoo.com
EMON (ESET) пропустил данное письмо
Внутри письма файл mail.hta.
Видимо, после запуска из вложения файла mail.hta монитор AMON "долбанул" файл userinit.exe из папки C:\Recycled (это видно из лога антивируса)
из антивирусов данный файл определяется:
Scanner results
ArcaVir
Found Heur.Win32
BitDefender
Found Win32.Worm.Feebs.1.Gen
ClamAV
Found Worm.Feebs.AE
Dr.Web
Found Win32.HLLM.Graz.based
Kaspersky Anti-Virus
Found nothing!!!
NOD32
Found a variant of Win32/Mocalo
VirusBuster
Found Worm.Feebs.Gen.2
VBA32
Found nothing
mail.hta определяется так:
Scanner results
AntiVir
Found HTML/Feebs.Gen
AVG Antivirus
Found Worm/Feebs
BitDefender
Found JS.Feebs.Gen
ClamAV
Found JS.Feebs.AF
Dr.Web
Found Win32.HLLM.Graz
Fortinet
Found JS/Feebs.fam-mm
Kaspersky Anti-Virus
Found Worm.Win32.Feebs.em
NOD32
Found nothing
VirusBuster
Found JS.KMax.Y.Gen
VBA32
Found Trojan-Downloader.JS.Feebs
Как Вы думаете "пресек" ли NOD установку Feebs?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Видимо пресек, потому что scan с помощью DrWeb в безопасном режиме ничего не обнаружил. (Должен был - по рекомендации лечения HLLM.Craz.)
-
