Перейти к содержанию

mail.ru и "вирусный" трафик


Рекомендуемые сообщения

Здравствуйте, хотелось бы задать вопрос о защите широко распространённого почтовика mail.ru.

Помню уже достаточно давно была эпидемия стилера пинч и логи с него, т.н. отчеты опционально пересылались либо посредством ftp или же через почту (в данном случае mail.ru).

Насколько мне известно, спустя некоторое время эти самые отчеты стали детектироваться антивирусом, используемым почтовым сервисом для проверки пересылаемого контента. Соответственно, использовать мейл для пересылки отчетов перестали.

 

Сейчас наблюдается похожая ситуация, но уже с другим популярным стилером - UFR, с которым, я думаю, отлично знакомы все вирусные аналитики. Все отчеты пересылаются с одинаковой темой "UFR Stealer Report" и имеют сходные имена report_%data%_%time%_%random%.bin и структуру.

Мне достаточно часто приходится вычищать с протрояненных машин разнообразную малварь, так что семлов этого стилера я повидал достаточно много, и уже не раз писал в техподдержку мейла что и через какие адреса пересылается, эффекта - ноль. Сегодня я наткнулся на уже знакомый e-mail, на котором уже менял пароль и писал по поводу него в саппорт, но он, как можно догадаться жив-живёхонек и все так же приносит хозяину свежие логи.

 

Собственно вопрос, планируется ли Лабораторией Касперского сделать детект на данные типы отчетов с вируса? А то, заходя на очередной мейл как-то не очень красиво выглядят шеренги логов, с логотипом и надписью в футере: "Защищён АнтиВирусом и АнтиСпамом Касперского".

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте tuler!

Написал вам ЛС, там описаны дальнейшие действия т.к. нам понадобится дополнительная информация и образцы для детектирования.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AL_o
      От AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • achskull90
      От achskull90
      Блокируется шифрованный трафик расширения VPN в браузере Edge 124.0.2478.51 при активном антивирусе Kaspersky 21.17.7.539. 
       
      Вчера обновился антивирус до версии 21.17 и заметил данную проблему (на версии 21.16 такой проблемы не было) в браузере. Если антивирус выключить или в настройках антивируса для браузера активировать параметр не проверять зашифрованный трафик, то расширение начинает работать, то есть пропускать зашифрованный трафик через себя... 
       
      Разработчики, прошу, решить данную проблему. 
       
    • website9527633
      От website9527633
      Добрый день! Подскажите где можно найти информацию касательно нагрузки на канал связи при отправке 1 раб станции события KES на KSC ? насколько грузит или какая скорость минимум должна быть для 1 рабочей станции с KES
       
    • Георгий Васильевич
      От Георгий Васильевич
      Доброго вечера, подскажите пожалуйста, каким образом в продукте идет проверка зашифрованного трафика? Не могу найти нигде информацию по данному вопросу
    • Tyson
      От Tyson
      Всем добрый день!
      С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?
       
      P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.
×
×
  • Создать...