Перейти к содержимому


Фото
- - - - -

действие: неизлечим

Автор Александр Б. , июл 09 2023 21:23

  • Please log in to reply
4 ответов в этой теме

#1 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 09 Июль 2023 - 21:23

Запуск сканера рабочих станций из ЦУ DrWeb ESS 13 (релиз от 06.06.2023), приходят уведомления:

Станция: XXXXXXXX@drweb-es (IP-адрес: ssl://172.17.13.41:53848, MAC-адрес: 47:b0:76:0e:54:db, SID: S-1-5-21-1895090936-2396301268-4166044113-22787, описание: отсутствует)
Время: 2023-07-09 18:04:02 (UTC      )
Источник: Dr.Web Agent Scanner for Windows (NT AUTHORITY\СИСТЕМА)
Объект: C:\Users\xxxxxxxx\AppData\Roaming\Thunderbird\Profiles\asqkqk6u.default-release\ImapMail\mail.xxxxxxxx.ru\INBOX\76527.part\TAIWAN HCUPO32.exe (XXXX\xxxxxxxx:XXXX\Пользователи домена)
Тип: инфицирован
Угроза: Trojan.Inject4.19209
Действие: неизлечим

Смотрю раздел угроз в ЦУ и вижу пачку однотипных сообщений:

5ACiLho.png

 

По всем срабатываниям путь ведет на письма в профиле Thunderbird, типа:

C:\Users\xxxxxx\AppData\Roaming\Thunderbird\Profiles\asqkqk6u.default-release\ImapMail\mail.xxxxxxxx.ru\INBOX\72886.part

Для сканера предусмотрены только такие действия:

sMRvcTn.png

 

 

В карантине станции пусто.

 

Можно пояснительную бригаду по ситуации? :)


Сообщение было изменено Александр Б.: 09 Июль 2023 - 21:24

Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 

#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 860 Сообщений:

Отправлено 09 Июль 2023 - 22:43

Вы хотите грохнуть базу писем? В почтовиках оно может вести именно к таким последствиям. Если же imap - то удаленный кусок может подгружаться. Здесь надо письмо с содержимым удалять и выполнять сжатие базы для удаления из неё этого содержимого физически. Назвал "общий случай", в каждом отдельном "возможны варианты".


#3 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 10 Июль 2023 - 00:08

Вы хотите грохнуть базу писем? В почтовиках оно может вести именно к таким последствиям. Если же imap - то удаленный кусок может подгружаться. Здесь надо письмо с содержимым удалять и выполнять сжатие базы для удаления из неё этого содержимого физически. Назвал "общий случай", в каждом отдельном "возможны варианты".

 

В Thunderbird каждое письмо в отдельном файле хранится. И если в нем обнаружены вирусы, то его как минимум надо в карантин переместить.

 

Это у Outlook все письма в одном .pst файле и если вдруг внутри найдется угроза, то тогда смешно может получиться (в лучшем случае перенос всего файла в карантин).

 

Сейчас речь конкретно об поведении сканера при обнаружении вирусов. Как сделать так, чтобы сканер относился к данным файлам Thunderbird так же, как и к остальным и реагировал согласно настройке действий?


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 

#4 pig

pig

    Бредогенератор

  • Helpers
  • 10 855 Сообщений:

Отправлено 10 Июль 2023 - 00:22

В Thunderbird каждое письмо в отдельном файле хранится.

Не письмо, а папка. Типа "Входящие". С точки зрения антивируса это архив. Прибивать весь архив из-за одного вредоноса, которого можно безболезненно удалить средствами архиватора (в данном случае TB), - вредительство.


Почтовый сервер Eserv тоже работает с Dr.Web

#5 basid

basid

    Guru

  • Posters
  • 4 483 Сообщений:

Отправлено 10 Июль 2023 - 04:45

У ГромоПтица - два варианта хранения: mailbox и maildir.

Антивирус обо всё этом не очень в курсе и для почтового хранилища выбран консервативный вариант - "не удалять". Чтобы не грохнуть всё разом.


Назад к Dr.Web Enterprise Suite

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Dr.Web Enterprise Suite
  4. Privacy Policy
  5. Terms & Rules ·