Buenas tardes, muchachos, me ayudan por favor con luces de donde puede estar el compromiso de seguridad del siguiente contexto:
1. Evidencia inicial: Desde un email se envió automáticamente al parecer a la lista de contactos, con un asunto y cuerpo de mensaje engañoso con un link para bajar un troyano.
2. El correo se usa vía browser en gmail.com
3. El correo se usa la mayoría del tiempo en una LAN con equipos bajo Windows
4.Las cuentas de correo tienen dominio propio hacen un forwarded a Gmail y desde allí se usa un alias.
5. Cuando se analiza los headers del mensaje con el virus comparadas un mensaje enviado manualmente , al parecer son las mismas . En las dos el SPF esta en status "Softfail" , lo cual tengo entendido es relativamente normal.
6. Días después otras 2 cuentas de correo empezaron a hacer lo mismo, pero con variación en el cuerpo del mensaje, peor igualmente con el objetivo que se desargue el troyano .
7. Se corre antivirus en los compus de la LAN sin detención (Aunque no cuento el dato de con cual)
7.5 Se corre antvirus en el hosting (Linux) sin detención
8. Cuando se descarga el archivo y se analiza con 70 antivirus , solo 30 lo detectaron .
9. Nombres :
Donde creen que es más probable este el virus actuando para reenviarse a los contactos y porque ?
A) En la LAN
B)En el hosting
C) En gmail
D) Que sea un caso de Spoofing
E) El acceso a la cuenta podría estar comprometido y estar actuando desde afuera
F) Otro , cual ?
Nota: O podria ser otro virus el que esta realizando el envio en otra etapa del ataque, y por eso es que cuando se scanea los supuestos equipos infectados no se encuentra nada ??
Muchas gracias
1. Evidencia inicial: Desde un email se envió automáticamente al parecer a la lista de contactos, con un asunto y cuerpo de mensaje engañoso con un link para bajar un troyano.
2. El correo se usa vía browser en gmail.com
3. El correo se usa la mayoría del tiempo en una LAN con equipos bajo Windows
4.Las cuentas de correo tienen dominio propio hacen un forwarded a Gmail y desde allí se usa un alias.
5. Cuando se analiza los headers del mensaje con el virus comparadas un mensaje enviado manualmente , al parecer son las mismas . En las dos el SPF esta en status "Softfail" , lo cual tengo entendido es relativamente normal.
6. Días después otras 2 cuentas de correo empezaron a hacer lo mismo, pero con variación en el cuerpo del mensaje, peor igualmente con el objetivo que se desargue el troyano .
7. Se corre antivirus en los compus de la LAN sin detención (Aunque no cuento el dato de con cual)
7.5 Se corre antvirus en el hosting (Linux) sin detención
8. Cuando se descarga el archivo y se analiza con 70 antivirus , solo 30 lo detectaron .
9. Nombres :
HEUR:Backdoor.MSIL.Crysan.gen
Backdoor:MSIL/Crysen.AD!MTB
MSIL.Backdoor.ASyncRAT.IE5LMD
Artemis!514D5EFBC737
Gen:NN.ZemsilF.34658.GjW@am7Lwmk
A Variant Of MSIL/GenKryptik.EWWK
Backdoor.AsyncRAT
Backdoor:MSIL/Crysen.AD!MTB
Donde creen que es más probable este el virus actuando para reenviarse a los contactos y porque ?
A) En la LAN
B)En el hosting
C) En gmail
D) Que sea un caso de Spoofing
E) El acceso a la cuenta podría estar comprometido y estar actuando desde afuera
F) Otro , cual ?
Nota: O podria ser otro virus el que esta realizando el envio en otra etapa del ataque, y por eso es que cuando se scanea los supuestos equipos infectados no se encuentra nada ??
Muchas gracias
Última edición: