48 ответов в этой теме

[v.martyanov]

Сбейте ассоциации JS/BAT/VBS и т.д. файлов, кста. Может понадежнее будет.

[usverg]

Низзя, скрипты автоматизации никто не отменял, а для scr так и сделано.

[wertolet]

Пока заблокировал запуск программ из темпов и сделал юзерам спец папки для открывания почтовых архивов, тоже с блокировкой исполняемых файлов.

[usverg]

спец папки для открывания почтовых архивов

Не панацея, к сожалению.

[wertolet]

Не панацея, жду когда очередная дурилка позабудет в очередной раз все инструкции.

[usverg]

Не панацея, жду когда очередная дурилка позабудет в очередной раз все инструкции.

Может транзитный сервер поднимите на дебиане, а там и мои инструкции подойдут?

[wertolet]

Если бы я мог, я бы здесь глупые вопросы не задавал. Не на чем мне его поднять и не умею я.

[usverg]

Вопросы вовсе не глупые, сам с аналогичным борюсь. Старые компы в конторе с двумя сетевухами найдутся? Или сервер с запущенной средой виртуализации типа Xen/VMWare/Hyper-V?

[usverg]

v.martyanov, я учёл Ваши совершенно справедливые замечания относительно зашифрованных архивов (теперь их тоже блокирую) и, так как сегодня прислали свежий (0/53 по VirusTotal-у, послал в вирус лаб, пока ждёмс) вредоносный файл, выкладываю свежий скрипт для проверки и соответствующие настройки для почтового сервиса Exim. Может кому пригодится.

exim4.conf :

acl_check_mime:
#  deny message = Potentially executable content (in .zip). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkx \
                                    $mime_decoded_filename zip}}}\
                             {\N(?i)stop\n\N}}
#  deny message = Potentially executable content (in .7z). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.7z$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkx \
                                    $mime_decoded_filename 7z}}}\
                             {\N(?i)stop\n\N}}
#  deny message = Potentially executable content (in .rar). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.rar$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkx \
                                    $mime_decoded_filename rar}}}\
                             {\N(?i)stop\n\N}}
#  deny message = Potentially executable content (in .docx). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.docx$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkx \
                                    $mime_decoded_filename docx}}}\
                             {\N(?i)stop\n\N}}
#  deny message = Potentially executable content (in .doc). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.doc$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkx \
                                    $mime_decoded_filename doc}}}\
                             {\N(?i)stop\n\N}}
  warn message = X-SS-Suspicious-Flag: YES
       mime_regex = [Bb][Ii][Tt]\.[Ll][Yy]\\/
  warn message = X-SS-Suspicious-Flag: YES
       mime_regex = [Gg][Oo][Oo]\.[Gg][Ll]\\/
  accept

exim.filter :

if $h_X-SS-Suspicious-Flag: contains "YES" then
  deliver suspicious@localhost
endif

Прикрепленные файлы:

•  checkx.7z   14,3К   13 Скачано раз

[usverg]

Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.

[RomaNNN]

Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.

 

Можно тушку в личку?

[v.martyanov]

 

Мда, а вопрос по-прежнему актуален - сегодня пришла новая "квитанция об оплате" - 1/56 (Qihoo) на вирустотале. Самописный фильтр отсеял, тикет я оформил.

 

Можно тушку в личку?

 

Ну и номер тикета тогда уж ;-)

[usverg]

Ну и номер тикета тогда уж ;-)

#5157820

[v.martyanov]

 

Ну и номер тикета тогда уж ;-)

#5157820

 

Не энкодер на 99%, детект уже есть.

[usverg]

И то хорошо, метода распространения та же. А апдейт с детектом до меня пока не дошёл видать.

Сообщение было изменено usverg: 26 Ноябрь 2014 - 16:31

[Graf_Leon]

Низзя, скрипты автоматизации никто не отменял, а для scr так и сделано.

.JS в основном лезет.

не думаю что Вы именно это используете в целях автоматизации.

Я просто как еще один фронт, поменял реестр чтобы  JS открывался в  блокноте.

Spoiler

Windows Registry Editor Version 5.00

;File association fix for [.JS] - Windows 7
;http://www.winhelponline.com/blog

[HKEY_CLASSES_ROOT\.JS]
@="JSFile"

[HKEY_CLASSES_ROOT\.JS\PersistentHandler]
@="{5e941d80-bf96-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\JSFile]
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,77,00,73,00,68,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,2c,\
00,2d,00,34,00,38,00,30,00,34,00,00,00
@="JScript Script File"

[HKEY_CLASSES_ROOT\JSFile\DefaultIcon]
@="C:\\Windows\\System32\\Notepad.exe,3"

[HKEY_CLASSES_ROOT\JSFile\ScriptEngine]
@="JScript"

[HKEY_CLASSES_ROOT\JSFile\ScriptHostEncode]
@="{85131630-480C-11D2-B1F9-00C04F86C324}"

[HKEY_CLASSES_ROOT\JSFile\Shell]
@="Open"

[HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command]
@="C:\\Windows\\System32\\Notepad.exe %1"

[HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command]
@="C:\\Windows\\System32\\Notepad.exe \"%1\" %*"

[HKEY_CLASSES_ROOT\JSFile\Shell\Open2]
@="Open &with Command Prompt"
"MUIVerb"="@C:\\Windows\\System32\\wshext.dll,-4511"

[HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command]
@="C:\\Windows\\System32\\Notepad.exe \"%1\" %*"

[HKEY_CLASSES_ROOT\JSFile\Shell\Print\Command]
@="C:\\Windows\\System32\\Notepad.exe /p %1"

[HKEY_CLASSES_ROOT\JSFile\ShellEx\DropHandler]
@="{60254CA5-953B-11CF-8C96-00AA00B8708C}"

[HKEY_CLASSES_ROOT\JSFile\ShellEx\PropertySheetHandlers\WSHProps]
@="{60254CA5-953B-11CF-8C96-00AA00B8708C}"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.JS]

[usverg]

.JS в основном лезет.
не думаю что Вы именно это используете в целях автоматизации.
Я просто как еще один фронт, поменял реестр чтобы  JS открывался в  блокноте.

Я - нет, но вот есть некоторые несознательные товарищи, привязанные по долгу службы к некоторым буржуйским платформам.... там не только js, там и vbs... ассоциации сбивать нельзя. Фильтры на транзите регулярно срабатывают (теперь отдельное развлечение: файл с расширением gz/bz2, а по факту rar, ну а далее как обычно), отдельно пришлось на корпоративном прокси заблокировать яндекс диск (хотя суппорт там довольно оперативно работает) и маил.ру файлы.
P.S. До сих пор периодически приходят PE в виде OLE внутри доков.

[IlyaS]

Богато живете

[usverg]

Так ить "коллеги" оставляют адреса где попало... а потом сыпется, типичная текстовка вроде: "Приветствую. Проводим сверочку - см ниже во влож.." или "Приветствую! У руководства нашей фирмы имеется ряд претензий к работе вашего подразделения. В интересах вашего руководства разобраться с этим до наступления новогодних праздников. Все подробности в файле, прикрепленном к данному письму!   "

[IlyaS]

Было дело с конца октября до середины ноября, чуть не каждый день:

В приложении акт переплаты
полная оплата E-NUM
прайс
Документы и Акт сверки
Неоплаченный счет
ПРЕТЕНЗИЯ
Счета на подпись

А сейчас поутихли совсем.