Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 7568 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Infected Machine with Windows 7 AV 2012

Dakrisht
One of our machines on our LAN (.160) was infected with a Windows 7 AV 2012 rogue malware app today. Took about an hour to remove this thing.

I've seen it before, I guess it somehow manages to pass through the HTTP/S filters and proxies.

My questions are:

1) Is there a way to isolate the machine (.160) and see logs for all HTTP traffic that went to this.

2) How can I identify the origin of the malware (site most likely that the user visited to download this spyware)

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    1)  Look in Logging & Reporting>>Web Security>>Web Usage Report Tab to drill into the sites visited from that IP Address.

    2)  If the AV engine(s) didn't catch it, for the most part you'd be guessing as to the source.  Even the most secure/reputable sites get hacked and can be malware dissemination points on occasion.  If you know the name of the payload for this Malware and if it wasn't hidden within another file, such as a zip or executable, you can search the raw logs at Logging & Reporting>>View Log Files>>Search Log Files.

    You may also want to investigate other possible vectors of infections such as emails, USB thumb drives, or other portable media devices (iPods, cell phones, etc.).
Reply
  • 0
    1)  Look in Logging & Reporting>>Web Security>>Web Usage Report Tab to drill into the sites visited from that IP Address.

    2)  If the AV engine(s) didn't catch it, for the most part you'd be guessing as to the source.  Even the most secure/reputable sites get hacked and can be malware dissemination points on occasion.  If you know the name of the payload for this Malware and if it wasn't hidden within another file, such as a zip or executable, you can search the raw logs at Logging & Reporting>>View Log Files>>Search Log Files.

    You may also want to investigate other possible vectors of infections such as emails, USB thumb drives, or other portable media devices (iPods, cell phones, etc.).
Children
  • 0 in reply to Scott_Klassen
    1)  Look in Logging & Reporting>>Web Security>>Web Usage Report Tab to drill into the sites visited from that IP Address.

    2)  If the AV engine(s) didn't catch it, for the most part you'd be guessing as to the source.  Even the most secure/reputable sites get hacked and can be malware dissemination points on occasion.  If you know the name of the payload for this Malware and if it wasn't hidden within another file, such as a zip or executable, you can search the raw logs at Logging & Reporting>>View Log Files>>Search Log Files.

    You may also want to investigate other possible vectors of infections such as emails, USB thumb drives, or other portable media devices (iPods, cell phones, etc.).


    Thanks Scott

    I'm looking at daily Web Usage reports, however, I can only see sites visited and the data they've used. Doesn't help me unfortunately.

    I'm assuming it was a file she downloaded (most likely an .exe or a .zip archive - I can't think of another way the infected file downloaded itself on the system, unless it was ActiveX or Javascript direct infection - the user MUST have initiated the download of the rogue file) - maybe you can elaborate on this.

    I'd like to check all the files her particular system downloaded in the last 7-days. Would the Logging & Reporting >> View Log Files >> Search Log Files method show me downloaded files to her system?