Перейти к содержанию

Вирусные вложения в почте

Tyson

Автор Tyson,
в Помощь по корпоративным продуктам

 Share Подписчики 2

Рекомендуемые сообщения

Tyson

Tyson 0

Опубликовано
Опубликовано

Всем добрый день!

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?

 

P.s. читал про "Защиту от почтовых угроз", однако если я правильно понял, то поставив пункт "Лечить; блокировать, если лечение невозможно", то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.

Ссылка на сообщение
Поделиться на другие сайты
Goddeimos13

Goddeimos13 14

Опубликовано
Опубликовано
12 часов назад, Tyson сказал:

Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя.

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Ссылка на сообщение
Поделиться на другие сайты
Tyson

Tyson 0

Опубликовано
  • Автор
Опубликовано
3 часа назад, Goddeimos13 сказал:

Приветствую!
Копайте в эту сторону. Это так не должно работать. Удаляется письмо, содержимое письма или вложенный файл, НО никак не весь файл данных почтового ящика.

Так а куда копать? Разве можно задавать правила лечения объектов?

Когда уже создал данную тему нашел это обсуждение на другом форуме, где говорится, что каспер не может удалить отдельное сообщение, а только целиком файл, в чем собственно я убедился на собственном опыте... Получается как по мне остается всего 2 варианта: либо вручную все вычищать, либо исключать файл pst из области проверки.

Ссылка на сообщение
Поделиться на другие сайты
Goddeimos13

Goddeimos13 14

Опубликовано
Опубликовано

Кажется понял.

В Вашем случае Вы запускаете задачу файлового сканирования. Этот компонент возможно не умеет вычищать *.pst.

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками. Вот он без проблем находит и удаляет malware в письмах (по крайней мере если используется MS Outlook с соответствующей надстройкой).

image.thumb.png.ea4219652aef765a02592669aa6da6fb.png

Ссылка на сообщение
Поделиться на другие сайты
Tyson

Tyson 0

Опубликовано
  • Автор
Опубликовано (изменено)
29 минут назад, Goddeimos13 сказал:

В Вашем случае Вы запускаете задачу файлового сканирования.

Все верно, в соответствии с внутренними правилами запускается задача проверки файлов.

29 минут назад, Goddeimos13 сказал:

Но я лично для защиты почты рекомендую использовать компонент Mail Threat Protection со следующими настройками.

Компонент используется, разве что немного более оптимизированный. Единственное что для меня пока непонятно, это подключение расширения для Outlook. Бывший администратор сказал, что однажды это расширение поломало почту нескольким пользователям из-за чего его пришлось отключить. Если судить по описанию саппорта, он выполняет те же функции, что и обычная проверка почты, разве что там добавляется возможность проверки при прочтении письма, так что не совсем понимаю целесообразность включения этого расширения.

image.png

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты
ElvinE5

ElvinE5 71

Опубликовано
Опубликовано (изменено)
28 минут назад, Goddeimos13 сказал:

(по крайней мере если используется MS Outlook

если используется любой клиент работающий по протоколам POP, SMTP, IMAP, NNTP, а так же включен параметр "проверка защищенных соединений" - если почта проверяется просто через веб - этот компонент не работает.

компонент расширения встраиваемый в OutoLook не работает с х64 версиями офиса, лучше отключить ...иначе это может вызывать зависания в работе интерфейса приложения

 

как правильно подсказывает @Goddeimos13 у вас срабатывает защита от файловых угроз ... вероятно компонент защита от почтовых унроз - не работает корректно

либо

Цитата

С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11

перестарались с "закручиванием гаек" ... стоит пересмотреть и ослабить ...

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил. и находит то что пропускает защита-почты

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты
Tyson

Tyson 0

Опубликовано
  • Автор
Опубликовано
4 минуты назад, ElvinE5 сказал:

было бы неплохо узнать КАК закрутили что он детектирует то что ранее не находил

По указанию свыше в компоненте почтовых угроз переключил метод проверки с "Поверхностный" на "Средний", после чего все это и началось. Ослаблять защиту запретили, сказали искать другой способ решения ¯\_(ツ)_/¯

image.png

Ссылка на сообщение
Поделиться на другие сайты
ElvinE5

ElvinE5 71

Опубликовано
Опубликовано (изменено)

это значение стоит ТАК по умолчанию насколько я понимаю ...

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Спойлер

1702936025_.thumb.png.02243965e7b573ba570c3bed8557388d.png

она уж точно не имеет отношения к работе компонента защиты почты, может там что то настроили ...

защита почты работает с трафиком - не с файлом на диске ...

 

upd:

можно попросить выгрузку политики в формате klt у себя поверить настройки ? если это не запрещено конечно же ...

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты
Tyson

Tyson 0

Опубликовано
  • Автор
Опубликовано (изменено)
2 часа назад, ElvinE5 сказал:

у вас какой компонент находит угрозу ? ранее вы сказали что задача проверки фалов

Да, задача проверки файлов и находит угрозу, однако в настройках задачи на проверку я ничего не менял, разве что сменил пункт с "Лечить; удалять, если лечение невозможно" на "Информировать; удалять, если лечение невозможно". Заметил что метод проверки стоит средний. В историях ревизий метод проверки не изменялся, предположу что стоял такой изначально

 

2 часа назад, ElvinE5 сказал:

можно попросить выгрузку политики в формате klt у себя поверить настройки ?

К сожалению не могу, довольно много информации которую нужно удалить. Проще будет перечислить настройки отдельных компонентов, которые вас интересуют

 

upd: А может ли изменение метода проверки в Политике изменить метод проверки в Задаче, только без указании этого в истории ревизий? Ведь я как понимаю они же связаны, т.к. что защита от файловых угроз, что от почтовых используют те же методы проверки, что и задача. 

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты
ElvinE5

ElvinE5 71

Опубликовано
Опубликовано

так ... проверьте как у вас настроена задача поиска вредоносного по ...

 

попробуйте отключить это ...

Спойлер

1730340066_.thumb.png.d0062e671cdcea9148be8a5aff257676.png

это

Спойлер

914802001_.thumb.png.b55c3b3457360a71cae94df39a068d56.png

эвристика тут тоже по умолчанию стоит в среднем положении ...

 

попробуйте такие настройки на тестовом устройстве ... приемлемо ли ...

если файл находится уже у базе почты клиента ... значить его пропустили ранее защиты почты (не забываем что наличие KSN облегчает жизнь) ... и с этим надо что то делать ... или же это ложное срабатывание.

 

а задачу можно конвертировать :) ? там нет "криминала "

 

Ссылка на сообщение
Поделиться на другие сайты
Tyson

Tyson 0

Опубликовано
  • Автор
Опубликовано (изменено)
40 минут назад, ElvinE5 сказал:

значить его пропустили ранее защиты почты

Да эти письма уже находились на компьютерах пользователей. Некоторые из писем вообще датируются 2007-2009 годами. То ли раньше почта никак не фильтровалась, то ли настраивали так что всё пропускало, но сейчас работаю с тем что есть.

40 минут назад, ElvinE5 сказал:

и с этим надо что то делать

Вот и пытаюсь понять что делать теперь. Оставлять и игнорировать эту заразу не выйдет, вычищать нужно в любом случае, просто надеялся что это можно сделать касперским, а не вручную, но выхода походу нет. Да и вообще вопрос изначально был в другом: 

22 часа назад, Tyson сказал:

Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение

 

Что касаемо настроек:

 

image.png

Изменено пользователем Tyson
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
×
×
  • Создать...