Come sapere quali virus sono coperti dal software antivirus

Naviga le tue risposte
4

Uno dei nostri account Twitter aziendali ha recentemente iniziato a inviare DM ai suoi follower. Guardando il contenuto di questi sembra che saremmo stati infettati da Troj/Mdrop-EML . Tutti i computer della rete aziendale devono essere aggiornati con Symantec Anti Virus / sulle ultime definizioni dei virus.

C'è un modo per vedere se questo virus è coperto da Symantec (idealmente c'è un modo generico per controllare questo per qualsiasi software anti-virus popolare, quindi questo post è utile per gli altri)?

Esamineremo ulteriormente per vedere se gli utenti utilizzavano l'account aziendale dalle macchine di casa o se la nostra copertura anti-virus presenta buchi che non avevamo individuato, ma ho pensato che sarebbe stato utile sapere se questo virus è qualcosa che proteggeva le macchine sarebbe stato protetto da prima di indagare ulteriormente.

    
posta JohnLBevan 28.11.2012 - 16:11
fonte

3 risposte

3

Verificare che uno degli utenti non abbia utilizzato le credenziali Twitter a casa o sul proprio dispositivo mobile. (questo è quello che è successo qui)

Utilizza il totale virus per vedere quali strumenti antivirus troveranno questo: ad esempio: pagina VirusTotal per Troj / MDrop -EML. nel tuo caso sembra un file chiamato "FlashPlayerV10.1.57.108.exe" scaricato. Questo è un tipico meccanismo di infezione per questo secondo VirusTotal.

Potrebbe valere la pena utilizzarlo come un evento formativo sul perché la tua politica IT per i social media è importante e ricorda a tutti le loro responsabilità

    
risposta data 28.11.2012 - 16:47
fonte
5

Quello che puoi fare è:

  • configura un computer sandbox installato con l'AV
  • infettalo con il virus e verifica se è stato rilevato

Oppure puoi caricare il file su link e vedere se viene rilevato da symantec.

    
risposta data 28.11.2012 - 16:32
fonte
1

Sospetto che si tratti di una vulnerabilità basata su HTTP che ha acquisito le credenziali di sessione di un utente e le ha inviate a un server web di terze parti. Quel server ha quindi preso quelle credenziali e ha iniziato a usarle (da un IP diverso).

Raccomando di cambiare la password twitter di quell'utente che potrebbe avere anche l'effetto collaterale di invalidare la sessione che risiede su altri computer (legittimi o meno).

Non penso che il tradizionale programma AV possa effettuare la scansione di questo tipo di attacco. Immagino che questo sia un problema del delegato confuso , che ha causato al web browser di fare qualcosa di insicuro. La modalità di attacco specifica può essere un CSRF, un clickjacking o un browser agent (BHO o estensione) che legge le password e che è stato sfruttato.

Un'altra possibilità è che l'utente abbia commesso errori di ortografia su twitter.com, oppure che sia stato indirizzato a una pagina di phishing simile al login di Twitter, e lì hanno inserito le credenziali.

Sappi che la maggior parte degli attacchi che ho visto inizia diverse ore dopo l'exploit. Per i miei account di prova, questo significa che i post sono stati eseguiti mentre stavo dormendo (o statisticamente non utilizzando l'account in base ai post precedenti)

    
risposta data 28.11.2012 - 16:48
fonte

Leggi altre domande sui tag

Crea una pagina per sperimentare l'iniezione SQL [chiuso] Come cercare prove di webcam hacking?