アンチウイルスソフトウェアでカバーされているウイルスを特定する方法
最近、企業のTwitterアカウントの1つが、フォロワーにDMを送信し始めました。これらの内容を見ると、Troj/Mdrop-EMLに感染しているようです。当社のネットワーク上のすべてのコンピュータは、Symantec Anti Virus /最新のウイルス定義で最新である必要があります。
このウイルスがSymantecによってカバーされているかどうかを確認する方法はありますか(理想的には、人気のあるアンチウイルスソフトウェアについてこれを確認する一般的な方法があるので、この投稿は他の人に役立ちます)?
ユーザーが自宅のマシンから企業アカウントを使用しているかどうか、またはウイルス対策の対象範囲に私たちが発見していない穴があるかどうかをさらに調査しますが、このウイルスが保護されているものであるかどうかを知ることは有用だと思いましたさらに調査する前に、マシンは保護されていたでしょう。
ユーザーの1人が自宅またはモバイルデバイスでTwitter資格情報を使用していないことを再確認してください。 (これがここで起こったことです)
ウイルス合計を使用して、どのアンチウイルスツールがこれを検出するかを確認します。例: Troj/MDrop-EMLのVirusTotalページ 。あなたの場合、「FlashPlayerV10.1.57.108.exe」というファイルがダウンロードされたようです。 VirusTotalによると、これはこの典型的な感染メカニズムです。
ソーシャルメディアのITポリシーが重要である理由についての教育イベントとしてこれを使用し、すべての人に責任を思い出させる価値があるかもしれません。
あなたができることは:
- aVがインストールされたサンドボックスコンピュータをセットアップする
- ウイルスに感染させ、検出されるかどうかを確認します
または、ファイルを https://www.virustotal.com/ にアップロードして、symantecによって検出されるかどうかを確認することもできます。
これは、ユーザーのセッション資格情報を取得してサードパーティのWebサーバーに送信するHTTPベースの脆弱性であると思われます。次に、そのサーバーはそれらの資格情報を取得し、(別のIPから)それらの使用を開始しました。
そのユーザーのTwitterパスワードを変更することをお勧めします。これは可能性があり、他のコンピューターに存在するセッションを無効にするという副作用もあります(正当かどうか)。
従来のAVプログラムではこの種の攻撃をスキャンできないと思います。私の推測では、これは 混乱した副問題 であり、Webブラウザが安全でないことを実行する原因になりました。攻撃の特定のモードは、パスワードを読み取り、悪用されたCSRF、クリックジャッキング、またはブラウザエージェント(BHO、または拡張機能)である可能性があります。
もう1つの可能性は、ユーザーがTwitter.comのスペルを間違えたか、Twitterのログインと同じように見えるフィッシングページに誘導され、そこに資格情報を入力したことです。
私が見たほとんどの攻撃は、エクスプロイトが実行されてから数時間後に開始されることを知っておいてください。私のテストアカウントの場合、これは、私が眠っている間に投稿が行われたことを意味します(または過去の投稿によると統計的にアカウントを使用していません)