Перейти к содержимому


Фото
- - - - -

SpIDer Mail, вредоносный *.doc


  • Please log in to reply
10 ответов в этой теме

#1 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 04 Октябрь 2019 - 02:12

добрый день..

если почтовый сторож работает, но вредоносное вложение (doc) отработал файловый сторож при попытке открыть файл с вердиктом trojan.inject, это норм или куда чего прислать надо?

ЗЫ: выслал тому же клиенту тестовый вирус с расширением pdf, почтовый сторож отработал как должно..



#2 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 932 Сообщений:

Отправлено 04 Октябрь 2019 - 06:59

Добрый!

Отправьте этот doc через форму https://vms.drweb.ru/sendvirus/

Номер, который придёт на почту напишите тут.



#3 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Октябрь 2019 - 09:03

если почтовый сторож работает, но вредоносное вложение (doc) отработал файловый сторож при попытке открыть файл с вердиктом trojan.inject, это норм или куда чего прислать надо?

Конечно норм. Так ловятся неизвестные угрозы по поведению.


Семь раз отрежь – один раз проверь

#4 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 04 Октябрь 2019 - 09:10



 

если почтовый сторож работает, но вредоносное вложение (doc) отработал файловый сторож при попытке открыть файл с вердиктом trojan.inject, это норм или куда чего прислать надо?

Конечно норм. Так ловятся неизвестные угрозы по поведению.

 

но там конкретный сигнатурный детект.. щас письмо с номером прийдет, как AndreyKa написал сделать.. запощу тут..



#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 355 Сообщений:

Отправлено 04 Октябрь 2019 - 09:33

>если почтовый сторож работает, но вредоносное вложение (doc) отработал файловый сторож при попытке открыть файл с вердиктом trojan.inject,

 

Перефразируйте, пожалуйста, что вас смущает? Троян детектируется, о чем вам сообщил SpiderGuard. Раз уже был сигнатурный детект, значит троян _не_ отработал.



#6 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 04 Октябрь 2019 - 09:47

Ivan Korolev, я ожидал, что SpIDer Mail не допустит попадания этого вложения в почтовый клиент, ведь это очевидно из первого поста..


Сообщение было изменено DoggoD: 04 Октябрь 2019 - 09:50


#7 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Октябрь 2019 - 09:49

Ага, таки сигнатурный. Значит, на vms это постить и не нужно, в общем-то.

Тогда могу ткнуть пальцем в небо, что Spider Mail не влез в TLS-сессию почтового клиента. Например, проверка шифрованного трафика не включена (впрочем, оно и не особо полезно).


Сообщение было изменено Afalin: 04 Октябрь 2019 - 09:49

Семь раз отрежь – один раз проверь

#8 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 932 Сообщений:

Отправлено 04 Октябрь 2019 - 11:38

могу ткнуть пальцем в небо, что Spider Mail не влез в TLS-сессию почтового клиента.
У меня не это стыкуется с:

выслал тому же клиенту тестовый вирус с расширением pdf, почтовый сторож отработал как должно

На VT First Submission 2019-10-03 06:18:32

То есть, реалистичнее вариант: сигнатура попала в базы с обновлением после получения письма и до открытия файла.



#9 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Октябрь 2019 - 11:40

Хм, и правда.


Семь раз отрежь – один раз проверь

#10 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 07 Октябрь 2019 - 01:54

если что, то вот файл..

[drweb.com #8875819]

по состоянию на сегодня почтовый сторож этот файл не детектит


Сообщение было изменено DoggoD: 07 Октябрь 2019 - 01:57


#11 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 07 Октябрь 2019 - 06:01

ложная тревога, перепутал письма.. теперь файл детектится почтовым сторожем..




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых