alexIrish

Symantec не ловит emails с вложеными в архив троянами

В этой теме 6 сообщений

Одит из наших сотрудников начал получать emails с вложеными в архив троянами. В оффисе стоит Symantec EPP v.11, управляется централизовано с сервера, все обновления сделаны. Outlook protection & Email Protection включены. Вся почта идущая к нам из вне проходит через провайдера, где сканируется на спам и вирусы. Но ети майлы у них не регестрируются, т.е. по всей видимости генерируются гдето внутри нашей сети. Отправитель меняется каждый день:amazon.com; twitter.com and so on. Емаил приходит раз в день, ~ в 8 утра. На клиентском компе в соответсвии с серверными настройками Outlook protection включен по дефалту. Скан делал во всей сети. Ничего не нашел. помогите отловить. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alexIrish Вы используете MS Exchange? Если Да, то Вы же понимаете, что письмо не может просто попадать в Outlook минуя Exchange. Смотрели x-headrы в письме, откуда оно приходит? Вложенный файл не детектится SEP? Отправляли его в Symantec Security Response?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, используем MS Exchange 2003. Вложеный file (zip архив) не детектится SEP когда приходит в Outlook, но если сохранить на диск и проверить, не распаковывая, то сразу же определяет два трояна внутри архива. B политике для Outlook protection определено проверять архивы до 3 уровня вложенности. A x-header vot:

Microsoft Mail Internet Headers Version 2.0

Received: from twitter.com ([109.78.49.151]) by companydomain.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 11 Mar 2010 08:22:23 +0000

From: [email protected]

To: [email protected]

Subject: Your friend invited you to twitter!

Date: Thu, 11 Mar 2010 08:22:29 +0000

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_73DD3907.5056AE5D"

X-Priority: 3

X-MSMail-Priority: Normal

Return-Path: [email protected]

Message-ID: <[email protected]>

X-OriginalArrivalTime: 11 Mar 2010 08:22:23.0513 (UTC) FILETIME=[F9DDD090:01CAC0F3]

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: text/html;

charset="Windows-1252"

Content-Transfer-Encoding: 8bit

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: application/octet-stream;

name="Invitation Card.zip"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="Invitation Card.zip"

------=_NextPart_000_0006_73DD3907.5056AE5D--

Как мне найти откуда он пришел? Thanks.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Честно говоря, не слышал про продукт Symanteс Gateway 360...как я понимаю, вам нужно установить клиента SEP на тот же Exchange и в политиках Firewall прописать конкрентный IP-адрес провайдера, с которого будет идти почта на 25-ый порт Exchange'а. Со всех других IP-адресов, включая все сегменты корпоративной сети, - следует отрубить трафик по SMTP.

А вообще есть отдельный продукт Symantec Brightmail Gateway - как шлюзовое решение он содержит весь необходимый Вам функционал, а также много другого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хотя если не ошибаюсь, в том же SMS for Exchange есть списки отправителей, можно создавать whitelist и blacklist'ы, но по доменному имени...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?