Jump to content

Alertes en chaine provenant d'une machine utilisateur


Go to solution Solved by bjourdan,

Recommended Posts

Posted

Bonjour,

Je dispose d'un parc de machine avec Kaspersky Endpoint Security Cloud.

Depuis quelques temps j'ai des alertes en grande quantité (1 toutes les quelques secondes dès que son outlook est ouvert) provenant de la machine de l'un de mes utilisateurs.

Lorsque je lance un scan sur sa machine l'anti-virus ne trouve rien. Comment faire pour nettoyer sa machine et donc faire en sorte que tout revienne à la normale ?

Merci par avance

Posted

Bonjour @bjourdan,

Si l'on se réfère à ta description de la problématique, il semblerait que la menace en question soit située au sein de la boîte mail de cet utilisateur (vraisemblablement, il s'agit d'un courriel malveillant ou indésirable).

Il est possible que la solution de sécurité installée sur l'appareil parvienne à intercepter cet objet sans toutefois pouvoir l'éradiquer complètement (la menace est peut-être présente uniquement en ligne, ou bien dans une archive Microsoft Outlook) : cela expliquerait pourquoi cette détection revient sans cesse et qu'elle ne survient pas lors d'une analyse des fichiers locaux.

Je pourrais éventuellement te suggérer de supprimer manuellement l'objet détecté de la boîte mail de l’utilisateur, en te référant aux informations contenues dans ces alertes.

Si besoin est, tu peux nous faire parvenir une capture d'écran de l'une d'entre elles afin que nous puissions t'aiguiller dans ta recherche.

  • 2 weeks later...
Posted

Здравствуйте и спасибо за ваш первый ответ.

Мое возвращение немного запоздало.

Ниже приведена копия одного из сообщений :

 

На устройстве 336D35J произошло событие «Обнаружен вредоносный объект» .

Владелец устройства: <не определено>, адрес электронной почты: <не определено> Дата и время события: понедельник, 22 мая 2023 г., 8:14:43 (GMT+00:00)

 

Описание события:

Описание результата: Обнаружено

Тип: Троянский конь

Имя: HEUR:Trojan-Downloader.Script.Generic

Пользователь: <Домен>\<Пользователь> (Инициатор) Тема: https://outlook.office365.com/mapi/emsmdb/?MailboxId=*****@*****.tld//V1E7OKEVLLT0909.js

Причина: экспертный анализ

Дата публикации баз: 15.05.2023 02:35:00

SHA256: B7C35306E7726730B60131DC38F04F4064D8FCAEE58B04536B11C519F5C96A3F

MD5: CAA4C543B4053D707B57BE0C6A1BBA01

Когда я нажимаю на ссылку, открывается браузер и всплывающее окно с идентификацией; Но я не знаю, какие идентификаторы использовать.

 

Posted

Désolé si ma réponse s'est affichée en cyrillique.

Le fichier incriminé semble être un java script.

Je vais déjà voir en retirant les archives pst pour voir.

Posted

Du coup, l'élément à incriminer n'était pas dans les archives mais était très ancien (2016). J'ai réussi à le supprimer et plu de problème maintenance.

Par contre je ne sais pour quelle raison je n'ai eu ces alertes que depuis peu de temps.

Posted

Merci de tes retours, ravi d'avoir pu te mettre sur la bonne piste.

Il semblerait que ce verdict n'ait été établi que récemment ("Date de publication des bases : 15.05.2023 02:35:00"), ce qui expliquerait pourquoi la détection n'est pas survenue auparavant.

Si tu estimes qu'il s'agit là d'un faux positif, je pourrais éventuellement te suggérer de nous soumettre l'objet pour réanalyse.

  • Solution
Posted

Malheureusement je ne l'ai pas conserve.

L'élément problématique était dans un zip en pièce jointe dans le mail.

J'ai du procéder de la manière suivante pour la suppression :

- Recherche du mail

- suppression de la pièce jointe dans le mail (Mail ne pouvant être supprimé sans cela)

- Suppression du mail

- Nouvelle recherche sur tous les éléments Outlook

- Suppression des élément trouvés (pas des mails mais comme des traces du fichier avec l'ensemble du code du script visible).

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...