Я использую Суриката как IDS в локальной сети, а не в Интернете. Он зарегистрировал несколько предупреждений от некоторых клиентов, которые сказали A Network Trojan was detected. Все свойства журнала следующие:
Протокол: 006
Источник: Клиентский IP
Место назначения: IP-адрес сервера
Подпись: ПОЛИТИКА ET SMB2 NT Создание запроса AndX для исполняемого файла во временном каталоге.
Идентификатор подписи: 1: 2025703: 2
Категория: Обнаружен сетевой троян
У меня есть обновленный антивирус Касперского, а также обновленный Malwarebytes, однако они не обнаружили никаких троянов.
Вопрос:
Это ложное срабатывание или, может быть, настоящий троян, который не может обнаружить защита от вредоносных программ?
Серверная ОС: Windows server 2012.
Клиентская ОС: Windows 7 и 10.
Я использую правило по умолчанию Suricata.