Infecção por vírus recorrente em uma estação de trabalho de domínio

1

Um de nossos usuários está tendo um problema recorrente com um vírus. Isso aconteceu com esse usuário em duas máquinas diferentes, em cada instância, infectando o mesmo programa com o mesmo vírus.

Os bytes de malware detectam o malware e ontem eu limpei o sistema. Observe que o MSE não encontra nada. O verificador de tempo real de bytes de malware também está em execução, mas verifiquei novamente hoje e o sistema está infectado novamente.

É um sistema Win 7 Pro SP1, tem as atualizações mais recentes, está executando o firewall do Windows (além de estar protegido por um firewall corporativo), o MSE e o MBAM no sistema e ainda é infectado novamente!

Eu verifiquei as unidades de rede do usuário, caso elas o acessem, mas até agora nada foi encontrado.

Como posso chegar ao fundo deste problema de vírus recorrente e impedir que o sistema seja infectado de uma vez por todas?

    
por kafka 20.04.2012 / 13:42

4 respostas

3

O Trojan.Agent.Gen é uma assinatura Genérica . Isso significa que a heurística do Malwarebytes encontrou algo, mas o aplicativo não tem certeza do que é, portanto, remove o aplicativo somente , para que qualquer backup ou cópias mascaradas ainda possam ser deixadas no sistema. Há até uma pequena chance de que isso não seja um vírus. Se é um vírus, precisamos estabelecer uma assinatura primeiro. Por favor, faça o seguinte:

  1. Analise o seu PC com um motor antivírus real e publique os resultados. Eu sugiro que você use um utilitário gratuito do Kaspersky, eles contêm suas últimas definições de vírus e um mecanismo antivírus em grande escala: link
  2. Pegue o arquivo que o MalwareBytes encontrou e envie para o virustotal: link Poste um link para os resultados, para que eu possa encontrar uma descrição e dar-lhe mais conselhos.
  3. Se, por algum motivo, a etapa 1 não fornecer nenhum resultado e você não puder encontrar o arquivo específico na etapa 2, teremos que fazer a análise manualmente. Você precisará coletar um registro de análise do sistema AVZ. Baixe o utilitário AVZ4 link , execute os scripts padrão 1 e 2 e publique os resultados.

P.S. O Microsoft Essentials e o Malwarebytes não substituem os bons produtos de segurança de endpoint. Eles não podem lidar com muitos vírus porque não possuem componentes de segurança sofisticados necessários para capturá-los. Se você não quiser se deparar com esses problemas novamente, considere usar um software de endpoint padrão do setor pela McAffee, Kaspersky ou ESET. Especialmente se você trabalha em um ambiente corporativo.

    
por 20.04.2012 / 21:51
1

Os suspeitos do costume:

O usuário conectado tem permissões ou direitos elevados inadequados.

Existe um auxiliar de navegador Adobe Flash vulnerável e desatualizado instalado.

Existe um leitor de PDF vulnerável e desatualizado instalado.

Há um tempo de execução Java vulnerável e desatualizado instalado.

Uso de uma mídia removível infectada (unidade USB).

Observe que, para muitos APTs (ameaças persistentes avançadas), é trivial criar um aplicativo hostil único, personalizado e exclusivo que pode ser baixado por uma vítima. Estes não podem ser marcados por uma varredura devido à criptografia do binário. Em alguns casos, é necessário definir o perfil da atividade da rede para detectar uma incursão. Essa é uma das maneiras pelas quais produtos como FireEye e Trend Deep Security diferem de um aplicativo antivírus tradicional baseado em cliente.

    
por 20.04.2012 / 14:19
1

Além da resposta de Greg Askew, aqui estão alguns pensamentos.

Se o usuário tiver esta infecção seguindo ele, deve ser algo específico para os hábitos ou a conta deste usuário.

Normalmente, podem ser perfis de roaming, o que você disse que não está sendo usado.

Para ser infectado novamente, isso implicaria em um conta-gotas de algum tipo ou em um programa oculto de rootkit que está baixando novamente o software depois de um cloak; o usuário está executando com privilégios elevados? Nesse caso, a única maneira de se livrar da re-infecção é reformatar o computador e começar tudo de novo, até mesmo acabar com o setor de inicialização. Se algo estiver disfarçado em segundo plano e baixar novamente o software que é detectado, isso o limpará completamente.

Caso contrário, você teria que recorrer à verificação dos hábitos de navegação do usuário. Você tem um sistema de proxy que monitora a atividade de navegação na web? Seus registros podem informar quais sites seu usuário está visitando no momento da infecção? (Se o software estiver sendo baixado via http, seu proxy também pode estar configurado para bloquear o site de download, dependendo do que for ... que pode ajudar a evitar alguns vetores de re-infecção)

Outro pensamento; é um falso positivo. Pegue o executável e carregue-o em um antivírus on-line que testa executáveis em vários mecanismos de antivírus e veja se ele realmente aciona a maioria deles. Eu tive problemas com falsos positivos no passado. Novamente, o servidor proxy, ou um sniffer de pacotes, pode ajudar a determinar se o computador está realmente fazendo algo que não deveria ser. Apenas ter um AV disparar um alarme não significa que o computador esteja realmente fazendo algo que não deveria.

Você disse que a infecção está causando o bloqueio do computador; para mim, isso é meio estranho, já que o objetivo da maioria dos malwares hoje não é sair do caminho para ser detectado, fazendo o computador agir de forma estranha e chamando a atenção para si mesmo. Poderia ser algo está corrompendo o executável? Poderia ser coincidência que a máquina esteja travando?

A reinfecção e a incapacidade de encontrar uma instalação remota (como os compartilhamentos ou o diretório inicial tendo o infecter) significam monitorar os hábitos do usuário, neutralizar a instalação na estação de trabalho e reinstalar do zero para eliminar os kits ocultos e usar limites de privilégios. o usuário só pode "infectar" seus próprios diretórios aos quais ele tem acesso e verificar se o executável infectado está realmente infectado usando um site de terceiros para digitalizar.

    
por 20.04.2012 / 14:36
0

Minha recomendação é encontrar cópias de segurança do software mal-intencionado executando o HijackThis com privilégios de administrador e usando a ferramenta de análise de log para descobrir qualquer entrada suspeita no registro do Windows. Além disso, uma varredura com o Adwcleaner e uma ferramenta anti-rootkit seria ótima.

    
por 06.09.2018 / 12:50