Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Как видим, троян и процессы, её запускающие, не удаляются. В планировщике появилось 2 новых задания. В автозапуске 2 новых процесса. Как понял, троян появился только-только. Первые упоминания с 1 июня в сети. НОД пока что только обнаруживает и удаляет создаваемый исполняемый файл.
WinServ2003, NOD32 File Security
Скрытый текст
08.06.2017 18:36:14;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 15:36:13;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа 08.06.2017 11:36:15;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 7:36:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 1:36:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 22:35:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 18:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 15:35:32;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:39:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:37:09;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:37:07;Модуль сканирования файлов, исполняемых при запуске системы;неизвестно;Startup;Win32/Agent.WTF троянская программа;содержит зараженные файлы 07.06.2017 12:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\windows\debug\item.dat;Win32/Agent.WTF троянская программа
Андрей, добавьте образ автозапуска системы в uVS. (инструкция как это сделать в моей подписи) ------ + вопрос: сервер 2003 доступен из внешней сети? если да, то надо подумать о безопасности сервера, не ровен час и WannaCry может прилететь, если порты открыты во внешнюю сеть.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
regt 35
;------------------------autoscript---------------------------
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply
; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delref %Sys32%\BLANK.HTM
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1AF_53.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1A_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_25B_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_5_66.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
;-------------------------------------------------------------
restart
если же подобные угрозы фиксируются на других компутерах в локальной сети, то добавляйте образы автозапуска по всем компам, где есть подобные логи в журнале угроз.
+ проверьте, кем создана эта политика безопасности ipsec, Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{66ff4bd3-c14c-41bb-8f5b-2f23f3ccf97d} если не вами, то ее лучше отключить. ------------ судя по содержимому c2.bat таки политика ipsec создана зловредом. заархивируйте этот файл с паролем infected и вышлите в почту [email protected] C:\WINDOWS\DEBUG\C2.BAT
Это похоже на Adylkuzz, судя по тому что закрывается доступ к указанным портам.
Цитата
Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.
Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.
On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry.
Over the subsequent weekend, however, we discovered another very large-scale attack using both EternalBlue and DoublePulsar to install the cryptocurrency miner Adylkuzz. Initial statistics suggest that this attack may be larger in scale than WannaCry: because this attack shuts down SMB networking to prevent further infections with other malware (including the WannaCry worm) via that same vulnerability, it may have in fact limited the spread of last week’s WannaCry infection.
Однако в последующие выходные мы обнаружили еще одну очень крупную атаку с использованием как EternalBlue, так и DoublePulsar для установки майнера криптовалюты Adylkuzz. Первоначальная статистика показывает, что эта атака может быть больше по масштабу, чем WannaCry: поскольку эта атака отключает SMB-сеть, чтобы предотвратить дальнейшие заражения другими вредоносными программами (включая червя WannaCry) с помощью той же уязвимости, возможно, это ограничило распространение на прошлой неделе Инфекция WannaCry.