Cómo saber qué virus está cubierto por su software antivirus

4

Una de nuestras cuentas corporativas de twitter recientemente comenzó a enviar DM a sus seguidores. Mirando el contenido de estos, parece que nos infectamos con Troj/Mdrop-EML . Todas las computadoras en la red de nuestra compañía deben estar actualizadas con Symantec Anti Virus / en las últimas definiciones de virus.

¿Hay alguna forma de ver si este virus está cubierto por Symantec (idealmente, existe alguna forma genérica de verificarlo en busca de algún software antivirus popular, por lo que esta publicación es útil para otros)?

Investigaremos más a fondo para ver si los usuarios estaban usando la cuenta corporativa de las máquinas domésticas o si nuestra cobertura antivirus tiene algún agujero que no habíamos visto, pero pensé que sería útil saber si este virus es algo de lo que las máquinas protegidas se habrían protegido antes de seguir investigando.

    
pregunta JohnLBevan 28.11.2012 - 16:11
fuente

3 respuestas

3

Verifique que uno de los usuarios no haya usado las credenciales de Twitter en su hogar o en su dispositivo móvil. (esto es lo que sucedió aquí)

Use el total de virus para ver qué herramientas antivirus encontraría esta: por ejemplo: -EML . en su caso, se parece a un archivo llamado "FlashPlayerV10.1.57.108.exe". Ese es un mecanismo de infección típico para esto según VirusTotal.

Puede valer la pena usar esto como un evento educativo por la razón por la cual su política de TI para las redes sociales es importante y recordar a todos sus responsabilidades

    
respondido por el Callum Wilson 28.11.2012 - 16:47
fuente
5

Lo que puedes hacer es:

  • configura una computadora con sandbox instalada con tu AV
  • infectarlo con el virus y ver si se detecta

O puede cargar el archivo en enlace y ver si Symantec lo ha detectado.

    
respondido por el Lucas Kauffman 28.11.2012 - 16:32
fuente
1

Sospecho que se trata de una vulnerabilidad basada en HTTP que tomó las credenciales de sesión de un usuario y las envió a un servidor web de terceros. Ese servidor tomó esas credenciales y comenzó a usarlas (de una IP diferente).

Recomiendo cambiar la contraseña de Twitter del usuario, lo que podría también tiene el efecto secundario de invalidar la sesión que reside en otras computadoras (legítimas o no).

No creo que el programa AV tradicional pueda buscar este tipo de ataque. Supongo que esto es un problema de diputado confuso , que hizo que el navegador web hiciera algo inseguro. El modo específico de ataque puede ser un CSRF, un clickjacking o un agente del navegador (BHO, o extensión) que lee las contraseñas y que fue explotado.

Otra posibilidad es que el usuario haya escrito incorrectamente twitter.com o, de lo contrario, haya conducido a una página de phishing que se parece al inicio de sesión de Twitter, e ingresaron las credenciales allí.

Solo debes saber que la mayoría de los ataques que he visto comienzan varias horas después de que se realiza la explotación. Para mis cuentas de prueba, esto significa que las publicaciones se realizaron mientras estaba dormido (o estadísticamente no se usa la cuenta de acuerdo con las publicaciones anteriores)

    
respondido por el random65537 28.11.2012 - 16:48
fuente

Lea otras preguntas en las etiquetas