Запуск сканера рабочих станций из ЦУ DrWeb ESS 13 (релиз от 06.06.2023), приходят уведомления:
Станция: XXXXXXXX@drweb-es (IP-адрес: ssl://172.17.13.41:53848, MAC-адрес: 47:b0:76:0e:54:db, SID: S-1-5-21-1895090936-2396301268-4166044113-22787, описание: отсутствует) Время: 2023-07-09 18:04:02 (UTC ) Источник: Dr.Web Agent Scanner for Windows (NT AUTHORITY\СИСТЕМА) Объект: C:\Users\xxxxxxxx\AppData\Roaming\Thunderbird\Profiles\asqkqk6u.default-release\ImapMail\mail.xxxxxxxx.ru\INBOX\76527.part\TAIWAN HCUPO32.exe (XXXX\xxxxxxxx:XXXX\Пользователи домена) Тип: инфицирован Угроза: Trojan.Inject4.19209 Действие: неизлечим
Смотрю раздел угроз в ЦУ и вижу пачку однотипных сообщений:
По всем срабатываниям путь ведет на письма в профиле Thunderbird, типа:
C:\Users\xxxxxx\AppData\Roaming\Thunderbird\Profiles\asqkqk6u.default-release\ImapMail\mail.xxxxxxxx.ru\INBOX\72886.part
Для сканера предусмотрены только такие действия:
В карантине станции пусто.
Можно пояснительную бригаду по ситуации?
Сообщение было изменено Александр Б.: 09 Июль 2023 - 21:24