Возможен вредоносный скрипт?

[tarasitm]

Общий привет,

 

Сегодня на корпоративную почту пришло сообщение странного содержания:

 

Добрый день!
Компания ООО KASTERLI LTD. проводит проверку своих архивов (перед проведением аудиторской проверки).
В результате были найдены рабочие документы, касающиеся наших общих проектов.

Прошу Вас ознакомиться со списком документации (во вложении) и как можно скорее ответить, актуальны ли для Вас данные документы.

В случае необходимости мы пришлем оригиналы курьерской почтой.
Заранее благодарны

--
С уважением,
Филипп Ардилес
Директор по внешним связям
ООО Кастерли ЛТД
Тел.: +7 (495) 205-10-13

 

 

Вложение тоже необычное, с архивом в котором находится скрипт. Файл архива прилагаю. Требуется проверить на вирус.

 

Заранее спасибо.

 

Сообщение от модератора Elly

Файл удалён

[mike 1]

Сегодня на корпоративную почту пришло сообщение странного содержания:

Хорошо что вы заметили и проявили бдительность очень похоже на распространение трояна шифратора. 

 

Сделайте логи по правилам раздела возможно в сети есть почтовый червь. 

 

+ Сохраните это письмо пожалуйста в eml формат, запакуйте в архив и прикрепите этот архив к следующему вашему посту.

Изменено 26 мая, 2014 пользователем mike 1

[tarasitm]

Сегодня ответил DrWeb: "[drweb.com #4745740] Обработано: SUBMITTED SUSPICIOUS FILE. Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: JS.DownLoader.258"

 

... свежатинка!!!

[mike 1]

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

Изменено 27 мая, 2014 пользователем mike 1

[tarasitm]

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

 

mike 1, 

 

Вчера проверился Kaspersky Virus Removal Tool 2011, ничего не найдено.

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

 

Архив с письмом прилагаю.

Строгое предупреждение от модератора Roman_Five

Удалил.

[mike 1]

 

 

Архив с письмом прилагаю

Спасибо скачал. 

 

 

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

Да. 

[Roman_Five]

@tarasitm,

 

 

Сделайте логи по правилам раздела возможно в сети есть почтовый червь

[tarasitm]

Roman_Five,

 

Товарищ Модератор, а предупреждение за что?

 

Консультант mike 1 попросил разместить текст письма в формате eml, вот я и разместил. Весьма обидны Ваши речи... .

 

Логи сделаю сегодня. Наверное... . Пока что ни у кого ничего подобного из моей компании не наблюдалось.

 

 

[Roman_Five]

 

 

а предупреждение за что?

это тег такой.

лично к Вам претензий нет.

Вы разместили вредоносное ПО по просьбе консультанта.

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Часть сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=43371