Vložením e-mailové adresy se přihlásíte k odběru novinek.

 
 Aktuální verze

Virová databáze: 15651 (20170627)

Produkty pro domácnosti: 10.1.204

Produkty pro firmy: 6.5.2107

 Kontrola počítače
ESET Online Scanner

ESET Online Scanner je rychlý nástroj pro kontrolu počítače a odstranění nalezených hrozeb.

 Záchranné médium
ESET SysRescue Live

ESET SysRescue Live je nástroj pro odstranění škodlivého kódu nezávisle na operačním systému.

Novinky
Srp
4
Autor: Martin Jonáš | Vytvořeno: 04.08.2015 12:23:18

Dnes jsme zaznamenali šíření e-mailové zprávy se škodlivou přílohou. V příloze zprávy je soubor tvářící se jako Word dokument (např. 40271742.doc, 4568-125897.doc apod.). Příloha je již zablokována prostřednictvím systému ESET Live Grid a detekce bude přidána do další verze virové databáze. Pokud podobnou zprávu přijmete, rovnou ji prosím smažte.

Zpráva obsahuje následující text či jeho různé varianty:

Od: Lorrie SIMIEN [LorrieSIMIENxdm@rrvids.com]
Odesláno: Tuesday, August 04, 2015 10:42 AM
Příjemce:
Předmět: Faktura: NKY - N218154/29564399

 

Ahoj Magdi,
V príloze zasílám fakturu za HFT cerven.

Lorrie SIMIEN

Aktualizace:

Po spuštění .doc souboru dojde ke stažení a spuštění aplikace (downloaderu), která pak zajistí stažení samotného trojského koně Win32/Dridex.P trojan. Soubor v příloze zprávy bude detekován jako VBA/TrojanDownloader.Agent.ZA trojan. Pokud došlo k otevření souboru, počkejte nejlépe na aktualizaci virové databáze a poté proveďte kontrolu počítače.

Další možné podoby zprávy:

Dobrý den,
v príloze Vám zasílám fakturu za služby/zboží.
S pozdravem

Andrew Burks, DiS.
úcetní

Organizacní kancelár Znojmo, spol. s r.o.
Dr. Milady Horákové 12/2239, 669 02 Znojmo
DIC: CZ46970746

Dobrý den pane starosto,
Posílám fakturu za technickou pomoc.

 S prátelským pozdravem

 Ing. Terry Knox
Obranská 60
614 00 Brno

Tel.: 777 564 856

 

Komentáře (8)

Lukáš Novák
05.08.2015 12:29:24
KDy bude zapracována detekce těchto souborů do Eset ENDPOINT ANTIVIRUS. Mám ho aktuálně ve verzi 5.0.2229.1 a virovou bázi 12045 (20150805) a soubor povodne_B47CE4195BD.doc se tváří jako bezpečný.

Díky za info
Martin Buchta
05.08.2015 13:36:15
Dobrý den,
pokud se jedná o novou variantu, tak tu standardní cestou budeme detekovat od verze virové databáze 12047. Pro ověření nám můžete uvedený soubor zaslat prostřednictvím formuláře (http://servis.eset.cz/kontakt), pochopitelně v archivu opatřeném heslem.
Jan Moravec
05.08.2015 12:33:05
Zdá se, že jde o další variantnu, protože včerejší dávku souborů mi již EAV detekuje, tu dnešní ještě ne :)
Rostislav Frič
05.08.2015 16:06:32
Dobrý den. Pan Moravec má pravdu. Novější varianta zachycena DB 12047 není. Mohu se zeptat kdy bude vydána nová?
Eset Live Grid v podnikovém prostředí zapnutý nemáme. Zajímá mne tedy i dotaz pana Čechvala níže.

Děkuji za info
Matúš Čechvala
05.08.2015 14:07:37
Dobrý den,
ještě mám 2 dotazy:
1. Příloha dle vašeho textu by měla být zablokována pomocí LiveGRID. Nechci to zkoušet ve firemním prostředí, ale jenom by mě zajímal princip. Tj. v mailu se příloha zatím objeví (tam se LiveGRID neprojeví), ale pokud by ji nějaký uživatel chtěl otevřít dvouklikem přímo z mailu, tak Endpoint Antivirus zabrání jejímu spuštění (náhled Outlooku nic nezobrazí, protože to není *.doc).
2. I když jsou uživatelé opatrní a poučení a přílohu neotevřou, tak tyto maily navíc ve větším počtu výrazně obtěžují už jenom doručením (hlavně na mobilních klientech). Jak spolehlivě jsou tyto (a podobné) maily filtrovány už na straně Poštovního klienta (Exchange) pokud bychom na něj nasadili váš Email Security?
Martin Jonáš
05.08.2015 16:30:18
Dobrý den,
1. Ano, pokud bude informace o souborech v Live Gridu uvedena.
2. V současné verzi nedokážeme tyto zprávy nijak ošetřit, pokud je (přílohy) antivirus přímo nedetekuje. Nemají totiž žádné specifické znaky SPAMu a soubory v příloze jsou navíc pro každého příjemce zvlášť detekované. ESET Mail Security 6, která vyjde v září bude mít ESET Live Grid integrován a každá příloha tak bude porovnávána s informacemi v cloudu. Současná verze tuto funkcionalitu nemá.

Poznámka:
Dle informací, které jsme dostali z viruslabu, je skutečně každý soubor jedinečný pro každého uživatele. Tj. pravděpodobně nikdy neobdržíte stejnou variantu souborů dvakrát. Proto se nakonec informace o těchto souborech nedávají do Cloudu. Vzhledem k ohromnému množství variant to nemá žádnou efektivitu. I kdybychom informaci do cloudu přidali, nikomu již nepomůžeme, jelikož jsou generovány vždy nové varianty souborů, které mají pochopitelně odlišný HASH.
Marek Macháček
10.08.2015 11:02:41
Dobrý den
1. Znamená to, že v těchto případech nepomůže vůbec nic?
2. Jak to že dva antiviry nákazu okamžitě detekovali bez rozpoznání na Hash (Arcabit jako HEUR.VBA.Trojan a NANO-Antivirus jako Trojan.Script.Agent.djfdmm)?
https://www.virustotal.com/en/file/436fa5ec3fa664acc8109fb232d7272a667941edc4beac0954d3d8063757ae5b/analysis/1438687059/
https://www.virustotal.com/en/file/16a94fc6d00ade10e8a1c0dba6f9352f9de8d614e0b7f7f54e895800e98636b7/analysis/1438770851/

Děkuji za odpověď
Martin Jonáš
11.08.2015 11:47:09
Dobrý den,
1. Ano, v těchto případech skutečně žádná bezpečnostní aplikace nepomůže. Spuštění VBS skriptu uvnitř souboru je tak závislé na nastavené bezpečnostní politice maker v Microsoft Office.
2. Jejich nález je založen na obecné detekci, kdy pravděpodobně přímo napevno detekují nějaké znaky uvnitř souboru v příloze. Každopádně se i tato detekce týkala jen některých variant. Navíc tento typ detekce může generovat v jiných případech falešné poplachy.
Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Celé jméno:
E-mail:
Komentář:
Ochrana před roboty 
 
Pro přidání komentáře musíte vyplnit ochranu před roboty.
Kolik je dva krát tři?