Kaspersky
Question

KES 11. Защита от почтовых угроз


  • Community Citizen
  • 3 replies
Добрый день!
На предприятии развернут сервер администрирования KSC 11.0.0.1131. На рабочих местах установлен KES 11.1.0.15919 и агент администрирования 11.0.0.1131.
В последнее время участились входящие письма с разных доменов (сегодня пришло от Friederike.Sauerwein@gymalleehh.de) с вложенным запароленным архивом, который содержит файл с расширением .js.
Текст письма следующий:
"Добрый день, oтправляю сведения о заказе.
Документы во вложении.
Паpоль_для файла_-архива: 14

Егор Савельев
Менеджер
АО «Нордавиа — региональные авиалинии»"

Защита от почтовых угроз ни как не реагирует на данное письмо ни при получении от вышеуказанного адресата, ни при пересылке его по локальной сети.

Ранее приходили письма аналогичного содержания:
"Здравствуйте, oтправляю сведения о заказе.
Документ во вложенных файлах
Пароль для архивного файла: 1


Алексей Данилов
Менеджер
ООО «Алтайские авиалинии»"

При получении от внешнего адресата Защита от почтовых угроз ни как не реагировала, но при пересылке по локальной почте Защита от почтовых угроз отрабатывала и письмо приходило с пометкой в теме письма "Message has been disinfected :"
Выполнил проверку отправки письма с домена mail.ru с сопутствующим запароленным архивом с текстом "Здравствуйте, oтправляю сведения о заказе. Документ во вложенных файлах Пароль для архивного файла: 1
Алексей Данилов Менеджер ООО «Алтайские авиалинии»" на свой локальный эл. адрес, письмо пришло с пометкой "Message is infected :о заказе/ Алтайские авиалинии"

Помогите пожалуйста разобраться с данной ситуацией.
Прикрепляю настройки Защиты от почтовых угроз



6 replies

Userlevel 2
Badge +1
Здравствуйте,

Правильно ли я понимаю, что письмо не провереяется(не детектится) на клиентских машинах?
У вас используется MS Exchange?
Да, у нас используется MS Exchange 2013. Письмо не совсем не проверятся. Описанный мной первый случай с вложенным запароленным архивом и текстом "Добрый день, oтправляю сведения о заказе. Документы во вложении. Паpоль_для файла_-архива: 14 Егор Савельев Менеджер АО «Нордавиа — региональные авиалинии»" совсем не проверятся ни при получении из вне, ни при пересылке по локальной почте.
Во втором случае с вложенным запароленным архивом и текстом "Здравствуйте, oтправляю сведения о заказе. Документ во вложенных файлах Пароль для архивного файла: 1 Алексей Данилов Менеджер ООО «Алтайские авиалинии»" Письмо не проверяется с адреса отправителя, пометок в теме письма о зараженном письме нет. Если же я отправляю это письмо с домена mail.ru на свой локальный адрес, то письмо мне приходит с пометкой в теме "Message is infected". При пересылке по локальной почте KES отрабатывает и удаляет зараженное вложение и письмо приходит с пометкой в теме "Message has been disinfected".
Хочу добавить, что есть нерадивые пользователи, которые открывали данный архив и запускали файл, KES сразу отрабатывал и удалял файл. Но хочется, чтобы удаление происходило во время получения письма.
Badge
Здравствуйте!

Попробуйте увеличить уровень эвристичекого анализа на максимум, поможет ли это?

Спасибо!
После увеличения уровня эвристичекого анализа на максимум, ничего не изменилось. Касперский не проверяет входящее/исходящее письмо с запароленным архивом в котором вирус. Могу переслать Вам данное письмо для анализа.
Userlevel 2
Badge +1
Здравствуйте,

Пожалуйста, создайте запрос в https://companyaccount.kaspersky.com и приложите к нему образец письма.
Спасибо!
Хорошо.
Спасибо!

Reply / Ответить