Сегодня с утра на многих компьютерах корпоративной сети с установленным приложением Citrix был обнаружен и помещен в карантин вирус Trojan.KillFiles.29137
Поражены только те компьютеры у которых интернет работает через Citrix,
ярлык Citrix на рабочем столе стал ссылаться не на приложение, а на зараженный файл по пути C:\users\пользователь\appdata\roaming\citrix\selfservice\file.exe
Соответственно пользователи щелкают по ярлыку Citrix на рабочем столе, антивирус обнаруживает что ярлык ссылается на вирус и помещает его в карантин.
Вчера по просьбе администратора CITRIX добавил в исключения для группы Everyone > Windows > SpIDer Guard для рабочих станций Windows две папки: C:\Program Files (x86)\CITRIX\ C:\Program Files\CITRIX\
Сегодня обнаружив подозрительную активность, удалил эти исключения. Но скорее всего дело не в них, так как по логам первые компьютеры подверглись заражению еще 10-14 числа.
Сейчас переписываюсь с поддержкой, предлагают обновить Citrix до последней версии, так как в прошлых возможны уязвимости.
Прикладываю несколько логов зараженных станций.
Самое неприятное что проблема самовоспроизводится, то есть на одной и той-же станции антивирус срабатывает повторно.
Вопрос как он туда пробрался? И что делать?
Прикрепленные файлы:
Сообщение было изменено Philipp: 16 Июнь 2016 - 13:10