Help - Search - Members
Full Version: XML/Trojan.ZHLI-8
Kaspersky Lab Forum > Для русскоязычных пользователей > Борьба с вирусами
tess_ao
Всем доброго.

Сегодня началась чехарда с офисными документами при отправке по почте (пользуемся Office365) - Exchange удаляет вложения docx, xlsx с формулировкой

CODE
Это сообщение автоматически создано программой доставки почты. Сообщение электронной почты не было доставлено указанным получателям в исходном виде. Причина: обнаружена вредоносная программа во вложениях, все они удалены.

--- Additional Information ---

Subject: FW: Реконструкция линий электропередач
Sender:

Time received: 9/24/2015 8:27:23 AM
Message ID:
Detections found:
Договор + Приложения ТЭС_ЛЭП.zip     [b]XML/Trojan.ZHLI-8[/b]



Заслал несколько таких файлов на virustotal - результат на пикче, тот же самый зловоред. Kaspersky Endpoint Security 10 не видит в этих файлах никакой угрозы.

Пример файла во вложении.
tess_ao
Дополнительно:


Ругается на файл theme1.xml, входящий в состав инфицированного файла (во вложении)
greenatom
Подтверждаю срабатывание с сегодняшнего дня. Forefront For Echange 2010 выдает:

Код: {225EF07A-459D-4E43-A972-7A80DFB920A0}
Время обнаружения: 24.09.2015 13:42
Состояние: Обнаружено
Категория происшествия: Вирус
Имя происшествия: XML/Trojan.ZHLI-8
Файл: Сервера.docx->theme1.xml
StNb
Да, подобная проблема не только с .docx но и .xlsx
При этом, подобный файл, сохраненный в формате .doc или .xls проходит проверку, ничего не удаляется и не блокируется.
Блокирует файлы везде, где есть theme1.xml
На virustotal
Nicolas.smol
Сравнил два файле theme1.xml. Один из "зараженного" .docx файла, второй из нормального. Различия только в названиях схем в зараженном схема называется "Стандартная" в нормальном "Office". Переименовал названия схем, перепаковал файл - virustotal перестал ругаться.
Nicolas.smol
Да, если открыть "зараженный" документ, сменить тему документа со "Стандартной" на любую другу и сохранить, тоже перестаёт опознаваться как троян.
mike 1
Пишите сюда newvirus@kaspersky.com. Подозрительные файлы на форуме выкладывать не надо.
tess_ao
QUOTE(mike 1 @ 24.09.2015 22:26) *
Пишите сюда newvirus@kaspersky.com. Подозрительные файлы на форуме выкладывать не надо.

Первым делом отправил, на форум уже потом написал
tess_ao
А virustotal больше не ругается на инфицированный файл...
mike 1
QUOTE(tess_ao @ 25.09.2015 06:36) *
А virustotal больше не ругается на инфицированный файл...

Ответ от вирусной лаборатории вам пришел? Если не пришел, то когда отправляли запрос?
tess_ao
QUOTE(mike 1 @ 25.09.2015 13:28) *
Ответ от вирусной лаборатории вам пришел? Если не пришел, то когда отправляли запрос?


Не пришел. Чт 24.09.2015 11:20 (МСК)
Alexey Vishnyakov
Добрый день.

Вредоносного содержания не обнаружено.
tess_ao
QUOTE(Alexey Vishnyakov @ 25.09.2015 15:49) *
Добрый день.

Вредоносного содержания не обнаружено.



Это радует, спасибо.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2017 Invision Power Services, Inc.