Forum Övrigt Övriga ämnen Akademiska ämnen Tråd Inlägg

Har du drabbats av VBS:Gamaredon-CM [Apt]?

1
Skriv svar
Permalänk
Avstängd

Har du drabbats av VBS:Gamaredon-CM [Apt]?

En dator i mitt nätverk (HTPC:n) verkar ha drabbats av VBS:Gamaredon-CM [Apt] för cirka 30 minuter sedan via FireFox pref.js (preferensfil(?) eller fejknamn?) och nu verkar det vara samma sak fast under C:\Windows\SystemApps\SearchApp.exe (rapporteras dock som .js-fil igen)

Jag upptäckte efter att jag startat om FireFox att samma hot stoppats och sedan var mina inställningar för FireFox (t.ex. dölja bokmärken) nollställda så jag fick dölja dem igen. Så möjligen en fil som infekterats då?

Det står att det är "VBS" så VisualBasicScript eller betyder förkortningen något annat i virussammanhang?

Det står att det är "Advanced persistent threat - This is a targeted attack in which an attacker hides out on your network to spy on you or steal your data." enligt Avast som jag kör.

Kan det vara ASUS Router AC55U som har drabbats av sin sårbarhet nu och det ligger och lurar där?

Jag har inte varit på några nya unika hemsidor än hemsidor jag varit på sedan flera år tillbaka. Vad jag har gjort är dock spelat Dota 2 till och från och dampat på ryska lite i chatten så ryska attackgruppen straffar mig?!

Låter självfallet obegripligt långsökt.

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AplAy:

En dator i mitt nätverk (HTPC:n) verkar ha drabbats av VBS:Gamaredon-CM [Apt] för cirka 30 minuter sedan via FireFox pref.js (preferensfil(?) eller fejknamn?) och nu verkar det vara samma sak fast under C:\Windows\SystemApps\SearchApp.exe (rapporteras dock som .js-fil igen)

Jag upptäckte efter att jag startat om FireFox att samma hot stoppats och sedan var mina inställningar för FireFox (t.ex. dölja bokmärken) nollställda så jag fick dölja dem igen. Så möjligen en fil som infekterats då?

Det står att det är "VBS" så VisualBasicScript eller betyder förkortningen något annat i virussammanhang?

Det står att det är "Advanced persistent threat - This is a targeted attack in which an attacker hides out on your network to spy on you or steal your data." enligt Avast som jag kör.

Kan det vara ASUS Router AC55U som har drabbats av sin sårbarhet nu och det ligger och lurar där?

Jag har inte varit på några nya unika hemsidor än hemsidor jag varit på sedan flera år tillbaka. Vad jag har gjort är dock spelat Dota 2 till och från och dampat på ryska lite i chatten så ryska attackgruppen straffar mig?!

Låter självfallet obegripligt långsökt.

Gå till inlägget

Skicka upp filen/filerna till https://www.virustotal.com/gui/home/upload så får du väl iaf en känsla för om det verkar vara på riktigt eller om det kan vara falsklarm. Förmodligen också en känsla för om det finns andra namn på samma sak som kanske ger bättre sökträffar.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av evil penguin:

Skicka upp filen/filerna till https://www.virustotal.com/gui/home/upload så får du väl iaf en känsla för om det verkar vara på riktigt eller om det kan vara falsklarm. Förmodligen också en känsla för om det finns andra namn på samma sak som kanske ger bättre sökträffar.

Gå till inlägget

Hur ska jag välja filen som när den har lagts i karantän av Avast?

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Redigera
Citera flera Citera
Permalänk
Medlem

Jag var med om exakt samma sak idag. Satt vid dator 1 när detta meddelande från Avast dök upp och kunde sedan inte använda internet.
Då gick jag in på dator 2 och loggade in på routern (Teltonika Rutx09), och såg att någon misslyckats logga in 10/10 gånger på routern,(inom ~10 sekunder), genom dator 1 som sedan blockats.

Dator 1 har Windows 7, Avast och Firefox.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Sägs vara en false positive i Avast/AVG här: https://mobile.twitter.com/windthin/status/150633547409231873...

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem

Hittade detta på reddit: Reddit inlägg

Person med liknande router händelse som jag var med om.

u/bobotea "im not quite sure its a false positive, my partners machine threw the warning this morning when she accessed a chrome spreadsheet. I immediately went to check my router and saw 100+ failed login attempts from her IP within a few seconds trying to get into my router. To me this doesn't add up, this looks legit - unless this was some crazy freak coincidence. I work in IT but am not a security professional"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AplAy:

Låter självfallet obegripligt långsökt.

Gå till inlägget

Kör ni MS Outlook? Gamaredon är kända för att sprida sin malware via outlook. Men dom har ju inriktat sig mot mål i Ukraina och inte random privat personer.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av monoleg:

Kör ni MS Outlook? Gamaredon är kända för att sprida sin malware via outlook. Men dom har ju inriktat sig mot mål i Ukraina och inte random privat personer.

Gå till inlägget

Hm, jag har Hotmail.com men kör alltså via live.com hemsidan och inte själva appen. Dessutom är det på min arbetsdator som jag använder Hotmail.com och inte på min HTPC som hade drabbats.

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Thomas:

Sägs vara en false positive i Avast/AVG här: https://mobile.twitter.com/windthin/status/150633547409231873...

Gå till inlägget

Gött! Jag googlade faktiskt på VBS:Gamaredon-CM för hitta möjliga falska larm men hittade extremt få sökresultat och en sajt gav annat hot som stoppades av Avast då!

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara