Trojan.Multi.BroSubsc.gen

[Dmitry19]

добрый день,
на нескольких пк обнаружена и устранена угроза:

Результат: Вылечено: Trojan.Multi.BroSubsc.gen 
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь) 
Объект: System Memory

к сожалению, не смог найти описания данного вредоносного ПО (на портале в том числе https://threats.kaspersky.com/ru/threat/),

есть информация по данной угрозе?

Продукт:	Kaspersky Endpoint Security 11 for Windows (Workstation Protection)
Версия:	11.0.0.6499

[Kommunist7304]

Используемые версии браузеров и плагинов к ним на ПК с обнаруженной уязвимостью последних доступных версий?

Edited February 15, 2019 by Kommunist7304

[Dmitry19]

да, актуальная версия chrome, плагины стандартные гугловые (документы офлайн, гугл докс)

[Dmitry19]

повторный запуск задачи проверки важных областей вновь приводит к детекту и последующему успешному лечению и так далее

[Kommunist7304]

В таком случае лучше ждать рекомендаций представителей ЛК.

[Dmitry19]

да, запрос в support завел;

просто думал параллельно попытаться раздобыть информацию на форуме

[Kommunist7304]

Можно посмотреть список исключений KES и проредить его от лишних записей. Также проверить что установлены все доступные обновления ОС и ПО.

Достаточно это делать на одном каком-то ПК где проблема проявляется.

Edited February 15, 2019 by Kommunist7304

[dolph2005]

Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время.

Dmitry19@ ,Во сколько по времени было это событие у Вас?

Edited February 15, 2019 by dolph2005

[tyazhelnikov]

День добрый.

Присоединяюсь. 1 клиент.

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen
Пользователь:     домен\пользователь (Активный пользователь)
Объект:     System Memory
Причина:     Экспертный анализ
Дата выпуска баз:     15.02.2019 10:07:00
 

[Hydrargyrum]

Та же самая штука.

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen
Пользователь:      (Активный пользователь)
Объект:     System Memory

Что это за новая зараза?

[Anykeyshik]

Даже интересно стало. Есть в онлайн граждане из Kaspersky Lab? Может кто из них прояснит, что это за "зловред" такой?

Edited February 15, 2019 by Anykeyshik

[lbvfy]

Аналогично. 

6 устройств в разных филиалах. 

Цитата

 

Событие "Обнаружен вредоносный объект" произошло на устройстве %имя_ПК% в Windows-домене %домен% 15 февраля 2019 г. 14:18:03 (GMT+03:00)

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen

Пользователь:     %домен%\пользователь (Активный пользователь)

Объект:     System Memory

Причина:     Локальные базы

Дата выпуска баз:     15.02.2019 8:07:00

 

 

[Kommunist7304]

Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge?

[Anykeyshik]

Эта угроза устраняется, если в политике (задаче проверки) включена опция "Использовать технологию лечения активного заражения". Что именно делает этот вирус - пока под вопросом...

[lbvfy]

3 минуты назад, Kommunist7304 сказал:

Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge?

Да на всех этих ПК есть Chrome

[UnSigned]

+1

Цитата

 

Событие Обнаружен вредоносный объект произошло на компьютере XXX в домене YYY 15 февраля 2019 г. 10:54:07 (GMT+03:00)

Результат:     Обнаружено: Trojan.Multi.BroSubsc.gen

Пользователь:     YYY\ZZZ (Активный пользователь)

Объект:     System Memory

Причина:     Экспертный анализ

Дата выпуска баз:     15.02.2019 8:07:00

 

P.S. Пользователь - не Система

Edited February 15, 2019 by UnSigned

[poindex]

У нас тоже эта штука появилась, Хром был установлен, подскажите, что с этим сделать можно ?

[AleksJS]

То же самое, на 2 ПК из 100. Активные пользователи Хром и гуглодиска. Но гуглодиск есть еще на 3 ПК, и у них нет этого заражения.

На зараженных ПК нет известных уязвимостей, (по сведениям самого Kaspersky Security Center) установлены все последние обновления всего, что только можно. Политикой Windows SRP запрещен запуск программ по путям вне стандартных системных расположений, пользователи не администраторы. Полная проверка пока не завершена, но по результатам быстрой проверки памяти на других ПК этого вируса нет. В истории браузеров пользователей нет никаких подозрительных сайтов (все посещенные - известные и добросовестные организации).

[AleksJS]

У меня лечение активного заражения было включено в политике и после перезагруза Касперский его успешно прибил. Теперь я не могу изучить его и выяснить, откуда он взялся.

Те, у кого он переживает перезагрузку, гляньте Process Explorer в каком он процессе.

Так же рекомендую попробовать anti-rootkit gmer он может показать подробности.

[Dmitry19]

3 часа назад, dolph2005 сказал:

Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время.

Dmitry19@ ,Во сколько по времени было это событие у Вас?

в разное время на разных устройствах, на устройствах используется браузер chrome;

[Dmitry19]

ответ получен:

"Пользователи часто жалуются на рекламные нотификации в браузере, которые у них появляются в результате необдуманных действий на сомнительных сайтах. В случае согласия на принятие нотификаций от сайта, в настройках браузера оказываются прописанными нежелательные ресурсы.
Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать»."

проверил описанный сценарий на одном из тестовых пк, и действительно, в chrome в блоке уведомлений есть сомнительный ресурс (funnwebs.com), при разрешении отправки уведомлений с этого ресурса - в ходе проверки возникает выше описанный детект. уведомления отключаются в результате лечения! повторных детектов не возникает.

[AleksJS]

Но в любом случае, у всех, я вижу, это сегодня с утра и на загрузке устройства. По событиям зарегистриронным самим касперским, непосредственно перед этим обновлялась Windows (6 обновлений), Chrome, FireFox. Но хром и FireFox у нас везде ,а детект только на 2 ПК

[FREDYU]

Hey Guys,

I got the same alter prompted from my computer just around 15 mintues ago.

Kaspersky Security is installed at my Win 10 computer and i mostly use Firefox Browser (Ver. 65). Having download the latest Virus Definition Database and run the quick scan in my HDD drive but found nothing specious.

Particularly, the logo of Kaspersky has been changed to green shielding sign with a tick in the middle. Seems it has been updated as well.

May be that is just a falt alert becasue of its upgrade? Not quite sure. Help someone can help me out.... Thanks

[neotrance]

Только что Каспер тоже нашел этот зловред.

[zxsavage]

То же самое с пятницы на нескольких ПК.

Есть инфо куда копать?