Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 7578 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Infected Machine with Windows 7 AV 2012

Dakrisht
One of our machines on our LAN (.160) was infected with a Windows 7 AV 2012 rogue malware app today. Took about an hour to remove this thing.

I've seen it before, I guess it somehow manages to pass through the HTTP/S filters and proxies.

My questions are:

1) Is there a way to isolate the machine (.160) and see logs for all HTTP traffic that went to this.

2) How can I identify the origin of the malware (site most likely that the user visited to download this spyware)

Thanks in advance


This thread was automatically locked due to age.
  • 0
    1)  Look in Logging & Reporting>>Web Security>>Web Usage Report Tab to drill into the sites visited from that IP Address.

    2)  If the AV engine(s) didn't catch it, for the most part you'd be guessing as to the source.  Even the most secure/reputable sites get hacked and can be malware dissemination points on occasion.  If you know the name of the payload for this Malware and if it wasn't hidden within another file, such as a zip or executable, you can search the raw logs at Logging & Reporting>>View Log Files>>Search Log Files.

    You may also want to investigate other possible vectors of infections such as emails, USB thumb drives, or other portable media devices (iPods, cell phones, etc.).
  • 0 in reply to Scott_Klassen
    1)  Look in Logging & Reporting>>Web Security>>Web Usage Report Tab to drill into the sites visited from that IP Address.

    2)  If the AV engine(s) didn't catch it, for the most part you'd be guessing as to the source.  Even the most secure/reputable sites get hacked and can be malware dissemination points on occasion.  If you know the name of the payload for this Malware and if it wasn't hidden within another file, such as a zip or executable, you can search the raw logs at Logging & Reporting>>View Log Files>>Search Log Files.

    You may also want to investigate other possible vectors of infections such as emails, USB thumb drives, or other portable media devices (iPods, cell phones, etc.).


    Thanks Scott

    I'm looking at daily Web Usage reports, however, I can only see sites visited and the data they've used. Doesn't help me unfortunately.

    I'm assuming it was a file she downloaded (most likely an .exe or a .zip archive - I can't think of another way the infected file downloaded itself on the system, unless it was ActiveX or Javascript direct infection - the user MUST have initiated the download of the rogue file) - maybe you can elaborate on this.

    I'd like to check all the files her particular system downloaded in the last 7-days. Would the Logging & Reporting >> View Log Files >> Search Log Files method show me downloaded files to her system?
  • 0
    Astaro is good but it isn't perfect. Nothing is.  However Users on my Astaro networks don't do two things:
    1. use IE at all(they use chrome..mainly because Google provides an GPL template)
    2. keep java unmaintained
    3. Run as admins.
  • 0
    Good recommendations, William. Dakrisht, if you aren't scanning SSL in the Proxy, then you have no protection from HTTPS sites.  If you are in a Transparent mode without SSL scanning, the proxy only works for HTTP.  It's more secure to run in a Standard mode. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    ssl scanning works until it breaks stuff the correctly sees the man in the middle the proxy does.  using the basics of not getting infected I've reduced my infections(and my clients who follow ALL of these suggestions) to zero(astaro is part of the package..)
  • 0
    ASG reporting does not store the complete URLs in the database as this - according to the developers - would put too much load on the DBMS.

    Your only chance is to download the HTTP Logfiles and manually dig through them, 'awk' is your friend :-)
  • 0
    Thanks for the tips guys.

    Just this morning another system was infected with Windows Security 2011 BS

    I restored the system back a week, all is ok now.

    I checked today's (12/12) Executive Report:

    Mail Filtering blocked 26 viruses:
    1 TR/Spy.Zbot.XX  | 24 Mails |
    2 Trt/Drop.Smartcheat.A  | 1 Mail |
    3 TR/PSW.Zbot.4682  | 1 Mail |

    Also, can someone elaborate on this:

    In the Mail, Top-10 Sender list I have some odd addresses (non-LAN users) sending out email:

    1) info@almonpowny.com (26 emails)
    2) research@focusmails.com (21 emails)
    3) nicoleclalie@gmail.com (14 emails)

    and a few others...

    Hijacked computers?
  • 0
    e-mail isn't your threat..web is.  Lock down the content filter and active removal of activex and java for now.  That will kill flash as well which is another primary vector.  then remove shockwave(flash is NOT the same thing), update/remove flash, remove all versions of java on all machines.  Then let the users surf in that configuration.  somebody is either surfing bad sites, installing rogue software, or your getting hit with autorun infections via usb(nuke autorun via gpl.)
  • 0
    also on a known clean computer go get the microsoft standalone system sweeper and burn it to a cd.  Make a copy for every box.  Boot to this cd and do a full system scan.  Other than reformatting everything the standalone system sweeper on each box is the only way you are going to clean the boxes as if you don't have a worm already you soon will.