Salut,
J'ai un utilisateur qui a cliqué sur un lien obsusqué dans un mail qu'il pensait légitime.
Voici les 2 alertes d'Eset sur la machine :
Site web filtré :
http://mail.coronaplastering.com/assets/Fu3Nykfksg5GvJnli26?name=***********
Bloqué;Liste noire interne;C:\Program Files (x86)\Mozilla Firefox\firefox.exe;67.205.150.107;7FC11558C992CC8110E0391F1BBE7171C82E2DC6
Filtre IMAP;e-mail;de : <[email protected]> à : **************
DOC/TrojanDownloader.Agent.DSD cheval de troie;contenait des fichiers infectés
Un événement s'est produit lors de la réception d'un e-mail par l'application : C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe (2C38393B86B0A14483DBCA02A09634F4E8A886AF).;64FF904964FFF675A2C125BEA70089024595499E;
A priori Eset a fait le job, mais pour être serein, ci-joint les logs FRST qui viennent de cette machine :
FRST : https://www.swisstransfer.com/d/3a5602d ... 4a660a702b
Addition : https://www.swisstransfer.com/d/c3fd4f0 ... 3a4571237b
Shortcut : https://www.swisstransfer.com/d/25e231d ... dd10e48cc3
Merci d'avance pour votre aide.
@+
DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
Modérateurs : Mods Windows, Helper
- Messages : 298
- Inscription : 20 juil. 2010 16:47
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
Salut,
Oui les rapports sont corrects
C'est une détection antivirus à l'ouverture d'un mail.
Tant que tu n'ouvres pas la pièce et si c'est un document Word/Excel et Office, tu n'exécutes pas la Macro, tout va bien.
A lire : https://www.malekal.com/virus-office-word-excel/
Oui les rapports sont corrects
C'est une détection antivirus à l'ouverture d'un mail.
Tant que tu n'ouvres pas la pièce et si c'est un document Word/Excel et Office, tu n'exécutes pas la Macro, tout va bien.
A lire : https://www.malekal.com/virus-office-word-excel/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 298
- Inscription : 20 juil. 2010 16:47
Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
Merci pour ta réponse.
Oui la PJ interceptée par le filtre IMAP est soit un DOC soit un XLS, avec macro. Mais en principe Syshardener et/ou Osarmor est paramétré pour bloquer les macros Office.
Moi c'est plus le lien qui m'inquiète. L'url était obfusquée, et après analyse sur virustotal ca pointait vers du Emotet.....
J'en reçois plein depuis 3 jours, encore un ce matin : avec obfuscation d'identité, de lien, et corps de message et signature conforme à un expéditeur de confiance...... Après vérif sur virustotal, le site est en liste noire chez 4 AV, mais pas chez Eset :
https://www.virustotal.com/gui/url/3522 ... e7/details
Comment signaler une URL malicieuse ? Je n'ai pas trouvé sur Eset en tout cas....
ps : dernière question : un intérêt d'utiliser Osarmor ? (les dernières versions sont devenues payantes).
Merci, @+
Oui la PJ interceptée par le filtre IMAP est soit un DOC soit un XLS, avec macro. Mais en principe Syshardener et/ou Osarmor est paramétré pour bloquer les macros Office.
Moi c'est plus le lien qui m'inquiète. L'url était obfusquée, et après analyse sur virustotal ca pointait vers du Emotet.....
J'en reçois plein depuis 3 jours, encore un ce matin : avec obfuscation d'identité, de lien, et corps de message et signature conforme à un expéditeur de confiance...... Après vérif sur virustotal, le site est en liste noire chez 4 AV, mais pas chez Eset :
https://www.virustotal.com/gui/url/3522 ... e7/details
Comment signaler une URL malicieuse ? Je n'ai pas trouvé sur Eset en tout cas....
ps : dernière question : un intérêt d'utiliser Osarmor ? (les dernières versions sont devenues payantes).
Merci, @+
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
L'URL est détecté dans Firefox
Le mail dans Thunderbird.
L'alerte antivirus sur Firefox s'est déclenchée à la lecture du mail ou pas du tout ?
Faudrait plus d'explications sur ce qui s'est passé.
Le mail dans Thunderbird.
L'alerte antivirus sur Firefox s'est déclenchée à la lecture du mail ou pas du tout ?
Faudrait plus d'explications sur ce qui s'est passé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 298
- Inscription : 20 juil. 2010 16:47
Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
En fait il a reçu 2 mails à la suite.
Le 1er avec juste le lien vérolé -> bloqué dans firefox par le filtre de Eset (liste noire), donc fin de connexion.
Le 2ème avec 2 PJ (DOC et XLS) -> bloquées dans thunderbird par le filtre IMAP de Eset
Le 1er avec juste le lien vérolé -> bloqué dans firefox par le filtre de Eset (liste noire), donc fin de connexion.
Le 2ème avec 2 PJ (DOC et XLS) -> bloquées dans thunderbird par le filtre IMAP de Eset
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST
Ha donc ça ne craint rien.
En général les liens conduisent vers un téléchargement (script VBS, JS ou fichier Office malveillant).
Tant qu'il n'a pas ouvert ces fichiers, c'est bon.
En général les liens conduisent vers un téléchargement (script VBS, JS ou fichier Office malveillant).
Tant qu'il n'a pas ouvert ces fichiers, c'est bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 139 Vues
-
Dernier message par Malekal_morte
-
- 6 Réponses
- 175 Vues
-
Dernier message par Malekal_morte
-
- 2 Réponses
- 112 Vues
-
Dernier message par LHommeEnBlanc
-
- 11 Réponses
- 235 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 79 Vues
-
Dernier message par Malekal_morte