Jump to content

Recommended Posts

добрый день,
на нескольких пк обнаружена и устранена угроза:

Результат: Вылечено: Trojan.Multi.BroSubsc.gen 
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь) 
Объект: System Memory

к сожалению, не смог найти описания данного вредоносного ПО (на портале в том числе https://threats.kaspersky.com/ru/threat/),

есть информация по данной угрозе?

Продукт: Kaspersky Endpoint Security 11 for Windows (Workstation Protection)
Версия: 11.0.0.6499

Share this post


Link to post

Используемые версии браузеров и плагинов к ним на ПК с обнаруженной уязвимостью последних доступных версий?

Edited by Kommunist7304

Share this post


Link to post

да, актуальная версия chrome, плагины стандартные гугловые (документы офлайн, гугл докс)

Share this post


Link to post

повторный запуск задачи проверки важных областей вновь приводит к детекту и последующему успешному лечению и так далее

Share this post


Link to post

да, запрос в support завел;

просто думал параллельно попытаться раздобыть информацию на форуме

Share this post


Link to post

Можно посмотреть список исключений KES и проредить его от лишних записей. Также проверить что установлены все доступные обновления ОС и ПО.

Достаточно это делать на одном каком-то ПК где проблема проявляется.

Edited by Kommunist7304

Share this post


Link to post

Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время.

Dmitry19@ ,Во сколько по времени было это событие у Вас?

Edited by dolph2005

Share this post


Link to post

День добрый.

Присоединяюсь. 1 клиент.

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen
Пользователь:     домен\пользователь (Активный пользователь)
Объект:     System Memory
Причина:     Экспертный анализ
Дата выпуска баз:     15.02.2019 10:07:00
 

Share this post


Link to post

Та же самая штука.

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen
Пользователь:      (Активный пользователь)
Объект:     System Memory

Что это за новая зараза?

Share this post


Link to post

Даже интересно стало. Есть в онлайн граждане из Kaspersky Lab? Может кто из них прояснит, что это за "зловред" такой?

Edited by Anykeyshik

Share this post


Link to post

Аналогично. 

6 устройств в разных филиалах. 

Цитата

 

Событие "Обнаружен вредоносный объект" произошло на устройстве %имя_ПК% в Windows-домене %домен% 15 февраля 2019 г. 14:18:03 (GMT+03:00)

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen

Пользователь:     %домен%\пользователь (Активный пользователь)

Объект:     System Memory

Причина:     Локальные базы

Дата выпуска баз:     15.02.2019 8:07:00

 

 

Share this post


Link to post

Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge?

Share this post


Link to post

Эта угроза устраняется, если в политике (задаче проверки) включена опция "Использовать технологию лечения активного заражения". Что именно делает этот вирус - пока под вопросом...

Share this post


Link to post
3 минуты назад, Kommunist7304 сказал:

Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge?

Да на всех этих ПК есть Chrome

Share this post


Link to post

+1

Цитата

 

Событие Обнаружен вредоносный объект произошло на компьютере XXX в домене YYY 15 февраля 2019 г. 10:54:07 (GMT+03:00)

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen

Пользователь:     YYY\ZZZ (Активный пользователь)

Объект:     System Memory

Причина:     Экспертный анализ

Дата выпуска баз:     15.02.2019 8:07:00

 

P.S. Пользователь - не Система

Edited by UnSigned

Share this post


Link to post

У нас тоже эта штука появилась, Хром был установлен, подскажите, что с этим сделать можно ?

Share this post


Link to post

То же самое, на 2 ПК из 100. Активные пользователи Хром и гуглодиска. Но гуглодиск есть еще на 3 ПК, и у них нет этого заражения.

На зараженных ПК нет известных уязвимостей, (по сведениям самого Kaspersky Security Center) установлены все последние обновления всего, что только можно. Политикой Windows SRP запрещен запуск программ по путям вне стандартных системных расположений, пользователи не администраторы. Полная проверка пока не завершена, но по результатам быстрой проверки памяти на других ПК этого вируса нет. В истории браузеров пользователей нет никаких подозрительных сайтов (все посещенные - известные и добросовестные организации).

Share this post


Link to post

У меня лечение активного заражения было включено в политике и после перезагруза Касперский его успешно прибил. Теперь я не могу изучить его и выяснить, откуда он взялся.

Те, у кого он переживает перезагрузку, гляньте Process Explorer в каком он процессе.

Так же рекомендую попробовать anti-rootkit gmer он может показать подробности.

Share this post


Link to post
3 часа назад, dolph2005 сказал:

Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время.

Dmitry19@ ,Во сколько по времени было это событие у Вас?

в разное время на разных устройствах, на устройствах используется браузер chrome;

Share this post


Link to post

ответ получен:

"Пользователи часто жалуются на рекламные нотификации в браузере, которые у них появляются в результате необдуманных действий на сомнительных сайтах. В случае согласия на принятие нотификаций от сайта, в настройках браузера оказываются прописанными нежелательные ресурсы.
Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать»."

проверил описанный сценарий на одном из тестовых пк, и действительно, в chrome в блоке уведомлений есть сомнительный ресурс (funnwebs.com), при разрешении отправки уведомлений с этого ресурса - в ходе проверки возникает выше описанный детект. уведомления отключаются в результате лечения! повторных детектов не возникает.

Share this post


Link to post

Но в любом случае, у всех, я вижу, это сегодня с утра и на загрузке устройства. По событиям зарегистриронным самим касперским, непосредственно перед этим обновлялась Windows (6 обновлений), Chrome, FireFox. Но хром и FireFox у нас везде ,а детект только на 2 ПК

Share this post


Link to post

Hey Guys,

I got the same alter prompted from my computer just around 15 mintues ago.

Kaspersky Security is installed at my Win 10 computer and i mostly use Firefox Browser (Ver. 65). Having download the latest Virus Definition Database and run the quick scan in my HDD drive but found nothing specious.

Particularly, the logo of Kaspersky has been changed to green shielding sign with a tick in the middle. Seems it has been updated as well.

May be that is just a falt alert becasue of its upgrade? Not quite sure. Help someone can help me out.... Thanks

Share this post


Link to post

То же самое с пятницы на нескольких ПК.

Есть инфо куда копать?

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.