Wykryto RIG Exploit Kit Detection - jak to ugryźć?

[agaron]

Na komputerze F-Secure wykrył dwa wirusy: 
- Exploit:JS/AnglerEK.D 
- Exploit:JS/MagnitudeEK.G 

Teoretycznie zostały usunięte. 

Ale, że komputer to laptop firmowy  to po podłączeniu do sieci firmowej, router wykrył zagrożenie sieciowe fsmsh.dll a dokładnie RIG Exploit Kit Detection(38295). Router to PaloAlto. I tak sieje po sieci

Próbowałem skanować i Dr.Webem i Malwarebate'm i AdwCleanerem i jeszcze klikoma i dalej to samo. 
Nie wiem co jeszcze można użyć? 

Byłbym wdzięczny za sugestie bo w necie nic nie mogę na temat tego zagrożenia znaleźć. Chyba, że nie umiem szukać.

[picasso]

W raportach żadnych oznak infekcji. Do wykonaia byłyby tylko drobne czynności porządkowe (np. usunięcie odpadków po ArcaBit).

 

 

Cytat

Na komputerze F-Secure wykrył dwa wirusy:

- Exploit:JS/AnglerEK.D

- Exploit:JS/MagnitudeEK.G

 

Przeklej dokładnie te rekordy w czym / jaka ścieżka dostępu, czy powiązane jest to z detekcję jakiejś strony internetowej. Generalnie detekcje eksploitu "Angler" są związane z lukami w oprogramowaniu. Tu widać na komputerze np. starszą wersję Java 8 Update 45.

 

 

Cytat

Ale, że komputer to laptop firmowy to po podłączeniu do sieci firmowej, router wykrył zagrożenie sieciowe fsmsh.dll a dokładnie RIG Exploit Kit Detection(38295). Router to PaloAlto. I tak sieje po sieci

 

Czy to na pewno jest tak sformułowane? To "zagrożenie sieciowe" fsmsh.dll to ... biblioteka F-Secure Policy Manager. Owszem, pakiet F-Secure jest tu starej wersji.

 

[agaron]

To tak:

- Web Traffic Scanning Alert Infection: -h..p://k4e.xsgtls1oj.top/WITQvbNfY/rgRawsiROf/kyyBMVa/99269/Fck-448415-lycuuadee.jpg Object name: Exploit:JS/AnglerEK.D

- Web Traffic Scanning Alert Infection: -h..p://myvaporbeststore.com/ Object name: Exploit:JS/MagnitudeEK.G

 

Kwestia sformułowania, to bardziej nazwa reguły w polityce PaloAlto.

Zablokowany został ruch z informacjami, że chodzi o "fsmsh.dll",RIG Exploit Kit Detection(38295)

[picasso]

Osłona web F-Secure wykrywała konkretne strony jako te uruchamiające eksploity. W tu widzianym systemie nie ma żadnych oznak infekcji która mogłaby odpalić takie przekierowania. Jeśli zgłoszenia były jednorazowe, nie jest wykluczone że na Google przypadkiem trafiono na stronę / reklamę to otwierającą. Jeśli zgłoszenia nie są jednorazowe, źródłem może być inny komputer sieci i analiza tu widzianego mija się z celem. Moim zdaniem to wygląda właśnie na problem sieci firmowej, którym powinien zająć się jej administrator.

[agaron]

Tyle tylko, że komunikaty w sieci pojawiają się tylko gdy ten laptop jest wpięty do niej. Jak go się wypnie, to zero komunikatów...

[picasso]

Jak mówię, w raportach zero rekordów związanych z takimi infekcjami i moim zdaniem analizą zjawiska powinien zająć się administrator sieci w chwili, gdy laptop jest w nią wpięty, bo wtedy środowisko pracy jest inne niż tu widziane. To komputer popinany pod domenę, więc skan FRST (oraz innymi skanerami wywoływanymi lokalnie) jest tu ograniczony. Dodatkowo, brak widoczności infekcji może też wypływać z oglądania kontekstu innego konta użytkownika. Raporty zrobione z poziomu konta "rafał", a są tu conajmniej trzy (rafał, szczepan i Bank):

 

Załadowane profile: rafal... (Dostępne profile: rafal... & Bank)

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-4195087781-2223933032-4022338309-500 - Administrator - Enabled)
Bank (S-1-5-21-4195087781-2223933032-4022338309-1001 - Administrator - Disabled) => C:\Users\Bank
Gość (S-1-5-21-4195087781-2223933032-4022338309-501 - Limited - Disabled)

+ pliki Temp "szczepana" w FRST oraz jego skróty w Shortcut

 

Jak widać, nawet FRST nie wykrył kont "rafał" (załadowane) i "szczepan" (pośrednia dedukcja że istnieje) jako lokalnych, bo to system domenowy. Jeśli ten laptop ma być rzetelniej sprawdzony via FRST, wymagane jest ładowanie po kolei wszystkich używanych na nim kont i zrobienie z ich poziomu odrębnych skanów FRST (z Addition).

 

[agaron]

OK. Dzięki za pomoc.