Troyano en archivos DOC enviado de forma masiva por correo


#1

Buenos días, estimados.

Trabajo en una empresa, en la cual, recibimos correos de forma masiva, la cual, viene adjunto un archivo DOC, por la que, tras un escaneo de VirusTotal, el 10% de los antivirus lo marca como Troyano, mientras que el resto dice encontrase limpio.

Estamos conversando con nuestro ISP a que bloquen este tipo de correos.

Lo que me preocupa, es que algunos usuarios me han informado que han abierto dicho documento (McAfee es el que usamos y no lo detecta), y desconozco si éste hace algún daño al equipo, roba información, o que…

¡En ese escenario? qué puedo hacer para asegurar que dichos equipos estén limpios? Lo primero que se me viene a la mente es instalar un segundo antivirus (de los que ha detectado en virus total) y dejarlos corriendo, pero creo que necesito orientación, si me pueden echar una mano.

Se puede subir el archivo DOC como muestra?

Saludos,


#2

El software de seguridad que utilizáis, es por decirlo de forma suave y a falta de un término mejor… deplorable, y la política / protocolo de seguridad y prevención ante amenazas cibernéticas de vuestra empresa al parecer inexistente.

Intuyo que cuando hablas de usuarios te refieres al personal de oficina que trabaja en dicha empresa.

Si eres parte del personal técnico que gestiona los sistemas de esa empresa, lo primero de todo es activar el protocolo contra amenazas cibernéticas que el informático jefe / departamento de informática tenga preparado y aplicarlo inmediatamente a demás de un procedimiento de análisis forense que en este caso es extremadamente sencillo. Tenéis la causa, el como se ha producido, los elementos responsables y la amenaza en cuestión.

Por como lo describes lo mas seguro es que os hayan colado un caballo de troya vía macro en un documento adulterado, por lo que si, lo mas probable es que haya filtración de datos, máxime si solo dependéis de ese software de protección y no disponéis de de otros sistemas que controlen el tráfico entre vuestra red y el exterior.

Si ya sabéis que soluciones detectan la amenaza lo ideal es empezar a analizar los servidores y las estaciones de trabajo con ellas y ver la envergadura real del desastre para sopesar si merece realmente la pena desinfectar o cargar una copia de seguridad.

Igual es un buen momento para actualizar vuestras políticas de seguridad y asegurarse de que todo el personal las conozca.


#3

La empresa es una pyme y soy el único informático a cargo, por lo que no cuento con protocolos, ni informáticos con conocimientos en seguridad, por lo que vengo a preguntar que hacer en un caso como el que planteo.

Los usuarios conocen los protocolos de seguridad ante la recepción de correos “sospechosos”, sin embargo siempre hay alguien que termina abriéndolos de todas maneras.