Attualmente stiamo subendo un'impennata delle macchine che vengono attaccate con Cridex.
Abbiamo ricevuto diverse e-mail spam / infette che hanno utilizzato macro per pensare di implementare un trojan backdoor che consente a Cridex di essere abbattuto.
Questo è il popup che riceviamo da SEP: link
Anche dopo aver installato malwarebytes su alcuni sistemi avremmo ricevuto un avviso che C: \ Windows \ explorer.exe stava tentando di accedere a siti dannosi.
Ciò che è interessante è che possiamo rimuovere tutte le istanze note del virus, riavviare la macchina eseguire una scansione completa e quindi trovare sempre gli stessi oggetti o qualche volta diversi.
Uno degli altri principali ostacoli è che il virus si trova su più siti, tuttavia stiamo trovando poca coerenza con il suo funzionamento e quali trojan / virus sono installati sul sistema.
Installed malwarebytes on a users machine whilst it was running the scan it continually prompted about C:\Windows\explorer.exe stating that it was trying to access a malicious website.
SEP has also started to recognise the edg(random No.).exe as part of the issue, possibly the carrier.
Currently our thinking is that the edg file is a trojan that is allowing cridex etc entry onto the system. However it appears SEP is blocking Cridex from fully activating, so the question is why isn't SEP finding and stopping this.
SEP says that you should be able to find files in the registry etc:
http://www.symantec.com/security_response/writeup.jsp?docid=2012-012103-0840-99&tabid=2
However personally been unable to find them thus far, but new machines have been infected here so will have a look.
Il problema che abbiamo è che SEP non ha bloccato le e-mail di spam dall'esecuzione dei loro macro per un giorno intero.
A volte una combinazione di SEP e Malwarebytes sembra rimuovere tutti i file infetti, ecc. Tuttavia, questo non è sempre il caso.
Abbiamo notato che Symantec ha recentemente aggiornato la propria firma per Cridex, quindi chiunque ha idee o conoscenze su come affrontarlo efficacemente.
Qualsiasi aiuto è molto apprezzato.
UPDATE: Abbiamo trovato lo strumento Norton Power Removal, sembra che faccia il trucco, devi eseguire la sessione del rootkit ma questo sembra ottenerlo