rutsagig
-
Posts
13 -
Joined
-
Last visited
Posts posted by rutsagig
-
-
¿Qué versión de Kaspersky has usado @harlan4096?
Con la última versión de Kaspersky Antivirus no me detectó nada
-
1
-
-
Éste es el resultado de la consulta del archivo ISO:
https://opentip.kaspersky.com/1858A862390ADCAA4CEA6782E7DBA077697475FF9ADA9D75C4897CCD563998AF
Del ISO comprimido en 7z con contraseña:
https://opentip.kaspersky.com/C2845FC0C9A79CD5F71D0A0E3C3D23A73F6388C77E1CF2005E002556AF399F01
Ya he enviado por privado el archivo ISO comprimido con contraseña por privado a @harlan4096
-
1
-
-
Otra cosa interesante es cómo llegó el virus. No era el típico correo de remitente sospechoso con un adjunto que salta a la legua que es un virus.
Lo recibió un despacho de abogados desde una agencia de publicidad.
La agencia contactó con el despacho y estuvieron intercambiando varios correos hasta que enviaron éste donde decían que adjuntaban documentación comprimida con contraseña por temas de protección de datos. Los correos estaban en perfecto español y muy bien escritos, decían que buscaban un abogado para reclamar facturas usando palabras legales como procedimiento monitorio y cosas así.
Antes de ésto los abogados habían buscado la agencia de publicidad y sí existía: tenían web, facebook y eran de la ciudad.
El problema es que la agencia era, digamos por ejemplo, agenciapubli.com, y los correos venían de agenciapubli.agency. Éste dominio se había creado sólo unas semanas antes.
Llamamos a la agencia y estaban al tanto del tema porque ya les había avisado algún proveedor de que habían recibido mails similares.
HAY QUE ANDAR CON 1000 OJOS!!!
-
2
-
-
Gracias. @harlan4096te lo he enviado por MD.
El archivo venía comprimido con contraseña. Lo descomprimí y al volverlo a comprimir con la contraseña solicitada no me dejó porque en ese momento sí saltó Kaspersky (yo tengo el endpoint security 11):
QuoteEvento: Objeto malicioso detectado
Tipo de usuario: Iniciador
Nombre de aplicación: WinRAR.exe
Ruta de la aplicación: C:\Program Files\WinRAR
Componente: Protección frente a amenazas en archivos
Descripción del resultado: Detectado(s)
Tipo: Troyano
Nombre: HEUR:Trojan-Dropper.Multi.Agent.gen
Precisión: Análisis heurístico
Nivel de amenaza: Alta
Tipo de objeto: Archivo
Nombre de objeto: abogados.zip
Ruta de objeto: D:\tmp
SHA256 de un objeto: F23CED7F1D103B478B265F9036B5D5C603BF90C37DC7B4A938051A31D5EF1E07
MD5 de un objeto: 41E43347E2EC70722109D60DB17277A6
Motivo: Análisis experto
Fecha de publicación de las bases de datos: Hoy, 22/12/2022 5:39:00Por si fuera de interés general, os explicaré un poco lo que ví del virus:
Es un ISO que contiene varios .bat, un .vbs, el programa autologon, el 7zip y un acceso directo haciéndose pasar por un documento a uno de los .bat.
Al ejecutar el acceso directo se copian estos archivos en C:, crea un usuario y reinicia el sistema en modo seguro, que con el autologon entra directamente sin contraseña y ejecuta el virus que empieza a encriptar todo y deja en cada carpeta el mensaje de rescate con un enlace a un site de la red Tor para hacer el pago en bitcoins
-
1
-
1
-
-
Sí, estoy con la sesión iniciada
-
1
-
-
Gracias por tu respuesta, pero no veo la opción para enviar la muestra a los analistas.
Adjunto imagen del resultado
-
1
-
-
Buenos días.
Hace un par de semanas el ordenador de un cliente, con la última versión de Kaspersky Antivirus instalada, fue atacado por un ransomware y el antivirus no detectó nada. No hubo problemas porque se tenían backups de todo.
El virús llegó como adjunto en un correo electrónico, un comprimido en 7z con contraseña. He probado a analizar el archivo, tanto comprimido como descomprimido con Kaspersky Antivirus y también con mi Kaspersky Endpoint Security y ninguno de los dos detecta nada.
¿Cómo podría hacer llegar a Kaspersky este archivo infectado para que lo analicen y así poder incluirlo en sus firmas para detectarlo en el futuro?
Gracias.
-
Tengo una aplicación que está siendo bloqueada por el firewall de Kaspersky Endpoint Security 11.3.0.773.
Si entro a la configuración del firewall de Kaspersky, reglas de aplicación y paso la aplicación del grupo de restricción mínima al grupo de confianza ya funciona.
Me gustaría saber cómo puedo hacer esto mismo desde la consola cloud.
He probado a añadir la aplicación en Exclusiones de análisis antivirus (en avanzada, amenazas y exclusiones) pero no funciona y desde las opciones del firewall tengo la opción de Reglas para procesar paquetes de red y flujos de datos y redes disponibles, pero no tengo las reglas de aplicación, tal y como en la aplicación de escritorio.
¿Cómo puedo añadir la aplicación a las excepciones del firewall desde el Cloud?
Gracias
-
Tras contactar con soporte he podido solucionar el problema.
Faltaba el servicio BFE (Motor de Filtrado de Base) de Windows.
Lo he restaurado siguiendo estas instrucciones y ya me ha dejado instalar el antivirus.
-
Así lo haré.
Muchas gracias.
-
Buenos días.
Tengo problemas instalado la última versión de KES 11 en un equipo con Windows 7.
Antes tenían instalada una versión anterior y al instalar la nueva da el error:
Error 27300 al instalar el controlador mklif.sys_x64
He visto comentar este problema muchas veces en el foro y he probado una solución que hablara de instalar el driver manualmente desde este enlace pero no me ha funcionado.
Con este driver la instalación sigue fallando aunque ya no específica el error.
He usado el kavremover para desinstalar la versión 11 pero falla igual.
¿Cómo puedo instalarlo?
Gracias.
-
Tengo instalado KES en varios equipos, gestionado desde el portal cloud. He actualizado los endpoints a la última versión 11.1.0.15919 y he visto que incluye una nueva opción llamada proveedor de protección AMSI que viene desactivada. Me gustaría saber como podría activarla, ya que no encuentro la opción en la configuración del perfil de seguridad del portal cloud. Gracias.
¿Cómo enviar muestra de virus no detectado a Kaspersky?
in Para usuarios particulares
Posted
La versión instalada es la 21.3.10.391 (j)