Перейти к содержанию

Возможен вредоносный скрипт?


Рекомендуемые сообщения

Общий привет,

 

Сегодня на корпоративную почту пришло сообщение странного содержания:

 

Добрый день!
Компания ООО KASTERLI LTD. проводит проверку своих архивов (перед проведением аудиторской проверки).
В результате были найдены рабочие документы, касающиеся наших общих проектов.

Прошу Вас ознакомиться со списком документации (во вложении) и как можно скорее ответить, актуальны ли для Вас данные документы.

В случае необходимости мы пришлем оригиналы курьерской почтой.
Заранее благодарны

--
С уважением,
Филипп Ардилес
Директор по внешним связям
ООО Кастерли ЛТД
Тел.: +7 (495) 205-10-13

 

 

Вложение тоже необычное, с архивом в котором находится скрипт. Файл архива прилагаю. Требуется проверить на вирус.

 

Заранее спасибо.

 

Сообщение от модератора Elly
Файл удалён
Ссылка на сообщение
Поделиться на другие сайты

Сегодня на корпоративную почту пришло сообщение странного содержания:

Хорошо что вы заметили и проявили бдительность очень похоже на распространение трояна шифратора. 

 

Сделайте логи по правилам раздела возможно в сети есть почтовый червь. 

 

+ Сохраните это письмо пожалуйста в eml формат, запакуйте в архив и прикрепите этот архив к следующему вашему посту.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Сегодня ответил DrWeb: "[drweb.com #4745740] Обработано: SUBMITTED SUSPICIOUS FILE. Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: JS.DownLoader.258"

 

... свежатинка!!!

Ссылка на сообщение
Поделиться на другие сайты

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Угу скрипт этот подгружает сам шифратор и запускает на исполнение своего черного дела. 

 

Текст письма пожалуйста сохраните в eml формате, запакуйте в архив и прикрепите. 

 

mike 1, 

 

Вчера проверился Kaspersky Virus Removal Tool 2011, ничего не найдено.

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

 

Архив с письмом прилагаю.

Строгое предупреждение от модератора Roman_Five
Удалил.
Ссылка на сообщение
Поделиться на другие сайты

 

 

Архив с письмом прилагаю

Спасибо скачал. 

 

 

 

Как я понимаю, если не проявлять излишнего любопытства, т.е. если файл скрипта не запускать, то заражения не произойдет?

Да. 

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five,

 

Товарищ Модератор, а предупреждение за что?

 

Консультант mike 1 попросил разместить текст письма в формате eml, вот я и разместил. Весьма обидны Ваши речи... .

 

Логи сделаю сегодня. Наверное... . Пока что ни у кого ничего подобного из моей компании не наблюдалось.

 

 
Ссылка на сообщение
Поделиться на другие сайты

 

 


а предупреждение за что?

это тег такой.

лично к Вам претензий нет.

Вы разместили вредоносное ПО по просьбе консультанта.

Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone

Сообщение от модератора Mark D. Pearlstone
Часть сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=43371
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Teplovchik
      От Teplovchik
      Проблема появилась после установки "народного" фотошопа.
      В настройках сетевого адаптера автоматически начали прописываться адреса DNS 8.8.8.8,8.8.4.4 из за чего пропадает интернет на компьютере.
      Поскольку компьютер подключен к роутеру со статическим ip все остальные устройства подключенные к роутеру продолжают работать в обычном режиме. Помогает изменение  настроек адаптера на компьютере на первоначальные путем установки значения на "Получить адрес DNS-сервера автоматически" в настройках адаптера во вкладке TCP/IPv4.
      Проверка Касперским на вирусы результатов не дала. Через Process Monitor был выявлен процесс который меняет запись в реестре на установку DNS NameServer REG_SZ 8.8.8.8,8.8.4.4 это файл wmiprvse.exe
      Приложение 1,3 - скрин с указанием процесса который внёс изменение в реестр.
      Приложение 2 -скрин реестра где появляется запись с адресом DNS.
      Фотошоп был удалён но проблема осталась. Обнуление значение в строчке реестра NameServer возвращают интернет, но через некоторое время (всегда по разному может через десять минут, может через несколько часов) запись опять появляется.
      Помогите решить проблему. По найденной информации wmiprvse.exe является системным файлом и удалить его просто нельзя.
      До этого поста размещал вопрос на офф. сайте касперского. https://forum.kaspersky.com/topic/произвольная-смена-адресов-dns-процессом-wmiprvseexe-38450/#comment-155188 От туда отправили сюда. 



      CollectionLog-2024.01.12-18.37.zip
    • Rinn
      От Rinn
      Добрый день, задача такая - "необходимо собрать статистику по службам SCCM" для этого был написан скрипт на python и скомпилирован в exe, скрипт собирает состояние служб и создаёт файл с %pcname%.txt и копирует его на сетевой диск. Проблема в том, что через KSC скрипт не отрабатывает и файлы(логи) на сетевом диске не появляются, если запускать на прямую то всё как надо. Подскажите куда смотреть?
    • pmp22
      От pmp22
      Как при помощи klakaut.exe создать скрипт который добавлял бы описание в имя компьютера текст?
      Например:
      скрипт.js "имя компа" "новое описание"

    • Viktor3954135
      От Viktor3954135
      Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

      Что он мог натворить и как избавиться???
       
      AVZ зависает при начале прямого чтения много багов...
       
      Помогите исправить....
       
      прикрепил логи AVZ и тот скрипт что приехал...
       
       
      Заранее спасибо...
    • Analizator7
      От Analizator7
      Добрый день! Пришла почта от контрагента, во вложении зип архив с джава скриптом. На одной машине этот скрипт был запущен, спустя 1 час эту машину выключили. Может кто-нибудь сказать какие последствия возможны и что этот скрипт делает. Его  прикрепляю. Спасибо.
×
×
  • Создать...