7 ответов в этой теме

[Infinite88]

Добрый день!

Сегодня в логах сервера Dr.WEB Enterprise Suite на гипервизоре Hyper-V обнаружил критичное оповещение об обнаружении трояна в файле виртуальных дисков  нескольких виртуалок со следующим содержанием:

 

Внимание! Обнаружена угроза безопасности на станции WORKSTATION

Станция: WORKSTATION (IP-адрес: ssl://10.XXXX, MAC-адрес: 4XXX, SID: S-1-5-21-4096046041-2012327537-1980137913-1104, описание: отсутствует)
Время: 2022-12-11 19:08:29.206
Источник: SpIDer Guard for Windows servers (NT AUTHORITY\SYSTEM:NT AUTHORITY\SYSTEM @ GUT-HV03)
Объект: D:\XXXX\Virtual Hard Disks\XXXX\WSUS_XXXX45.avhdx (неизвестно)
Тип: инфицирован
Угроза: Trojan.MulDrop21.23941
Действие: перемещен в карантин

 

Что делать в данном случае?) Гасить машину и вирталки я думаю - не вариант.

Прикрепленные файлы:

•  Снимок.PNG   18,1К   0 Скачано раз

Сообщение было изменено Infinite88: 12 Декабрь 2022 - 11:49

[Alexander007]

Попробуйте создать отчёт с помощью Dr.Web SysInfo :
https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe  

После сформирование отчета, залить Гугл или Яндекс. 

[VVS]

Alexander007, Вам предупреждение за офтопик.

Модератор.

[Infinite88]

Отчёт выложил, если это поможет...

 

https://disk.yandex.ru/d/kE5RSHWIyTKqUw

[Dmitry_rus]

...и что, многогигабайтные *.vhd поулетали в карантин?

Ложняк, скорее всего.

[Infinite88]

...и что, многогигабайтные *.vhd поулетали в карантин?

Ложняк, скорее всего.

 

Думаю да, ложное срабатывание... На других гипервизорах тоже самое наблюдается.

 

Как этого избежать?) А то переместит VHDX в "никуда".

[Ivan Korolev]

Поправили, надеюсь. С одним из ближайших обновлений баз должно уйти.

[Infinite88]

Да, ошибка ушла.

Спасибо!