Перейти к содержанию
Правила раздела

Возможен вредоносный скрипт?

tarasitm

От tarasitm
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

tarasitm Опытный

tarasitm

Опубликовано
Опубликовано

Общий привет,

 

Сегодня на корпоративную почту пришло сообщение странного содержания:

 

Добрый день!
Компания ООО KASTERLI LTD. проводит проверку своих архивов (перед проведением аудиторской проверки).
В результате были найдены рабочие документы, касающиеся наших общих проектов.

Прошу Вас ознакомиться со списком документации (во вложении) и как можно скорее ответить, актуальны ли для Вас данные документы.

В случае необходимости мы пришлем оригиналы курьерской почтой.
Заранее благодарны

--
С уважением,
Филипп Ардилес
Директор по внешним связям
ООО Кастерли ЛТД
Тел.: +7 (495) 205-10-13

 

 

Вложение тоже необычное, с архивом в котором находится скрипт. Файл архива прилагаю. Требуется проверить на вирус.

 

Заранее спасибо.

 

Сообщение от модератора Elly
Файл удалён
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Сегодня на корпоративную почту пришло сообщение странного содержания:

Хорошо что вы заметили и проявили бдительность очень похоже на распространение трояна шифратора. 

 

Сделайте логи по правилам раздела возможно в сети есть почтовый червь. 

 

+ Сохраните это письмо пожалуйста в eml формат, запакуйте в архив и прикрепите этот архив к следующему вашему посту.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
tarasitm Опытный

tarasitm

Опубликовано
  • Автор
Опубликовано

Сегодня ответил DrWeb: "[drweb.com #4745740] Обработано: SUBMITTED SUSPICIOUS FILE. Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: JS.DownLoader.258"

 

... свежатинка!!!

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
tarasitm Опытный

tarasitm

Опубликовано
  • Автор
Опубликовано

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

 

mike 1, 

 

Вчера проверился Kaspersky Virus Removal Tool 2011, ничего не найдено.

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

 

Архив с письмом прилагаю.

Строгое предупреждение от модератора Roman_Five
Удалил.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Архив с письмом прилагаю

Спасибо скачал. 

 

 

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

Да. 

Ссылка на комментарий
Поделиться на другие сайты
tarasitm Опытный

tarasitm

Опубликовано
  • Автор
Опубликовано
Roman_Five,

 

Товарищ Модератор, а предупреждение за что?

 

Консультант mike 1 попросил разместить текст письма в формате eml, вот я и разместил. Весьма обидны Ваши речи... .

 

Логи сделаю сегодня. Наверное... . Пока что ни у кого ничего подобного из моей компании не наблюдалось.

 

 
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


а предупреждение за что?

это тег такой.

лично к Вам претензий нет.

Вы разместили вредоносное ПО по просьбе консультанта.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Snake200221
      PowerShell пытается перекинуть на вредоносную ссылку
      От Snake200221
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
       
      Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 
      CollectionLog-2025.01.04-00.02.zip
    • ДмитрийКасперскийКлуб
      [РЕШЕНО] Открытие рекламы при запуске компьютера и запуск непонятных скриптов
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • mrTomny
      PowerShell пытается перекинуть на вредоносную ссылку
      От mrTomny
      Вопрос не решился? у меня такая же проблема вылезла....
      инфо.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      BadRAM: атака при помощи вредоносного модуля RAM
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
×
×
  • Создать...