Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 1728 След.
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
по сути инцидента с распространением майнера в корпоративной сети есть отличный апрельский отчет от INCIBE_CERT:

[I]Это исследование предназначено для профессионалов в области ИТ и кибербезопасности, исследователей и технических аналитиков, заинтересованных в анализе и исследованиях такого типа угроз, а также администраторов ИТ-сетей и системных администраторов с целью своевременного обновления своих компьютеров и защиты их от этой угрозы.[/I]

[B]кратное изложение:[/B]

3. Исходный файл -  многослойный обфусцированный и закодированный в base64 файл Powershell.
вектор входа (откуда) во время первого заражения неизвестен. (в нашем случае, понятно, что через уязвимость в MS Exchange Server 2013. После анализа было установлено, что это вредоносное ПО из семейства [B]WannaMine[/B], чья основная цель - криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по пораженной сети.

эта вредоносная программа состоит из нескольких компонент(артефактов) и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также эксплуатарует уязвимость CVE-2017-01441, известной как EternalBlue, чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматический запуск в песочницах, так как он использует PowerShell, чтобы попытаться запустить все в объем памяти.

[B]исходный файл: [/B]
int6.ps1   Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин.

"Funs" Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения.

«mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом записи на диск и используется для получения учетных данных системы.

«mon»: miner XMRig Это двоичный файл программного обеспечения XMRig, майнера криптовалюты с открытым исходным кодом. популярен в атаках криптоджекинга. Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.

WinRing0x64.sys Этот компонент является легальным и подписанным драйвером, используемым майнером XMRig, который позволяет настроить регистры MSR для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии.

mue.exe
Этот компонент записывается на диск во время заражения, и его задача - инжектировать полезную нагрузку в легальный процесс

"Sc": Shellcode EternalBlue. Этот компонент был идентифицирован как шелл-код для эксплуатации уязвимости. EternalBlue, и его задача - заразить новую машину WannaMine во время бокового движения.

Данная угроза способна выполнять следующие действия:

* Обойти интерфейс сканирования на наличие вредоносных программ (AMSI).
* Поддерживать устойчивость в системе, создав подписку на события WMI.
* Извлекать токены NTLM.
*Сканировать на наличие уязвимости EternalBlue.
* Распространение на другие системы с помощью EternalBlue.
* Распространение на другие системы путем удаленного выполнения WMI с функцией Pass-the-Hash.
* Распространение на другие системы путем удаленного выполнения SMB с помощью функции Pass-the-Hash.
* Установить программное обеспечение для добычи криптовалюты с безфайловым исполнением (PowerShell).
* Установить программное обеспечение для майнинга криптовалют путем инъекции (Process Hollowing)
* Изменить настройки Windows, чтобы оптимизировать производительность майнинга.
* Изменить настройки Windows для сохранения.
* Оставить систему в уязвимом состоянии с целью локального повышения привилегий
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
можно подвести некоторые итоги:

1. файлы отправленные в вирлаб по прежнему на ВирусТоал чисты (хотя ответа по этому поводу от вирлабов нет)

2.  после блокировки на маршрутизаторе ip адресом, с которых были направлены запросы на сервер MS Exchange
   скрипт проверки на уязвимость [B]Test-ProxyLogon.ps1[/B] не показал новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1
хотя и показывает что уязвимость обнаружена.

3. актуальный патч для "Exchange Server\V15\" установлен, но необходимо проверить логи установки, успешно было установлено актуальное кумулятивное обновление или нет.
Exchange Server 2013

В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2013.

Exchange Server 2013
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
[SIZE=12pt] Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
[/SIZE]

4. так же можно проверить наличие уязвимости используя nmap и спец скрипт,
[B]Latest stable release self-installer: nmap-7.92-setup.exe[/B]
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse

[QUOTE]-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
[/QUOTE]

5. вопрос с регулярным детектированием (через каждые три часа) антивирусом группы вредоносных скриптом был решен
проверка задач по образу uVS из нормального режима и из под winpe ничего не показала.
внешние атаки не наблюдались;
по логу procmon в момент срабатывания антивируса была обнаружена активность касперского с регулярным обновлением. наступил час Сократа.
админы приняли решение очистить карантин, куда антивирус регулярно добавлял файлы каждые три часа.
после очистки карантина детекты прекратились. что это было? вопрос к знатокам.

6. собственно следующая задача - добиться централизованного управления и контроля через веб-консоль  по всем установленным антивирусных клиентам, и оперативная очистка возможно оставшихся неочищенными узлов.

рекомендуем для ознакомления:
[B]ESET Protect[/B]
https://help.eset.com/protect_admin/81/ru-RU/

7. можно проверить в работе данную утилиту на предмет аудита по журналам.
Новый инструмент[B] Chainsaw[/B] помогает командам IR анализировать журналы событий Windows
https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip
Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows
[IMG WIDTH=1600 HEIGHT=900]https://www.bleepstatic.com/content/hl-images/2021/09/06/Chainsaw.jpg[/IMG]

У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.

Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию.
Создан для специалистов по реагированию на инциденты

Журналы событий Windows - это реестр действий системы, содержащий сведения о приложениях и логинах пользователей.

Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.

Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении Countercept F-Secure, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий и выделять подозрительные записи или строки, которые могут указывать на угрозу.

Инструмент использует логику обнаружения Sigma rule для быстрого поиска журналов событий, имеющих отношение к расследованию.

«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».

F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.

Chainsaw, доступный как инструмент с открытым исходным кодом, использует библиотеку синтаксического анализатора EVTX и логику обнаружения, обеспечиваемую библиотекой TAU Engine от F-Secure Countercept. Он может выводить результаты в таблице ASCII, CSV или JSON.

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip
ENOD32 БЛОКИРУЕТ ИНТЕРНЕТ
добавьте образ автозапуска вашей системы
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
ок, недетектируемые файлы из процесса W3WP.EXE ушли в вирлаб, ждет ответ
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
ок, смотрю,


ссылка на malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/

ссылка на скачивание:
http://www.malwarebytes.org/mwb-download/
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
пробуйте через uVS включить запись DNS лога,
чтобы в образ попали вероятные ip адреса, с которых возможно идет атака на сервер.
это можно сделать в режиме uVS - alt+T (твики). 41 включить DNS лог
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
[QUOTE]Рабочий процесс информационных служб Интернета (IIS) - это windows процесс (w3wp.exe), который запускает веб-приложения и отвечает за обработку запросов, отправленных на веб-сервер для определенного пула приложений.

Это рабочий процесс для IIS. Каждый пул приложений создает по крайней мере один экземпляр w3wp.exe , и именно он фактически обрабатывает запросы в вашем приложении
[/QUOTE]

собственно, видим, что
Полное имя                  C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE
Имя файла                   W3WP.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Цифр. подпись               Действительна, подписано Microsoft Windows
[B]Загруженные DLL НЕИЗВЕСТНЫЕ[/B]
[code]APP_BROWSERS.CM1GY-YR.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.9ROHC7PQ.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.B43PI4NY.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8
APP_GLOBAL.ASAX.CQHP4HAL.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C
APP_GLOBAL.ASAX.F82CQ-3M.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE
APP_GLOBAL.ASAX.FJON4ZRX.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563
APP_GLOBAL.ASAX.GFOSMOYG.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742
APP_GLOBAL.ASAX.LOVEIRWB.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D
APP_GLOBAL.ASAX.N3CT8VNU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_GLOBAL.ASAX.P7BTXYGD.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F
APP_GLOBAL.ASAX.QXTXGCN5.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B
APP_GLOBAL.ASAX.RGDBHA8I.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA
APP_GLOBAL.ASAX.T_-RLTDU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667
APP_GLOBAL.ASAX.VOPJ5BFR.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687
APP_GLOBAL.ASAX.ZIGCDRV_.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6
APP_THEME_DEFAULT._PA_PVFA.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_0EXSSJHG.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2X1TGTE0.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2ZYUFYVK.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_BZJN21B2.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_DPLFNAEX.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FHHKYG34.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FRZ2LSJQ.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_HHL3EFGE.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_LUOS5NMH.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_MT1YTSHN.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_O5BJKYBG.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_WEB_OCV4TGXS.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_QDEJ0KXZ.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_WKYXHA1V.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
MSERVCLIENT.DLL             C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
OSAFEHTM.DLL                C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
                           [/code]
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
линки проверки по некоторым файлам (никто не детектирует):

[CODE]https://www.virustotal.com/gui/file/deb133c8f85c0708ebff915797dc3704e78e2adda5c9eae97a8c53a4135ddaff/detection
https://www.virustotal.com/gui/file/6588c802ec136a166f92396bb51c9ebe69719da6910d3f7­ff40c333e3ea0ea98/detection
https://www.virustotal.com/gui/file/e35ed505119a886d545f3210c74962c535e0d0e1591fdd5­a9d13b3f56443b723/detection
https://www.virustotal.com/gui/file/63039acdb05c5e4ce1c6a65bca22055452b4634e5df582b­8436c844bf9019186/detection
https://www.virustotal.com/gui/file/9c761e20613137cedd320d9f4c88c65d0ef2aeac8661aec­ac9d0a95db02c5d77/detection
https://www.virustotal.com/gui/file/deb133c8f85c0708ebff915797dc3704e78e2adda5c9eae­97a8c53a4135ddaff/detection
https://www.virustotal.com/gui/file/4aa37c55df8c1fde0f5c332d19b0ebb22db79f93e90e94f­bb7bc02e991666395/detection
https://www.virustotal.com/gui/file/6588c802ec136a166f92396bb51c9ebe69719da6910d3f7­ff40c333e3ea0ea98/detection
https://www.virustotal.com/gui/file/345862e88e8b47d20c559f6ac372f868656835f0647d15c­435d874094f0f8317/detection
https://www.virustotal.com/gui/file/c05515ef4226a9db4243dce236397478593748dfca1c2ff­cccc0450f9d06037e/detection
https://www.virustotal.com/gui/file/7513547bebd3d83f1438167cb11819b0610a2f7a1f89804­f978ae97ff029f0cb/detection
https://www.virustotal.com/gui/file/55b722732ab41905349d5344e2a434e96a5af145a09b8c5­388f89c6a57111450/detection
https://www.virustotal.com/gui/file/f3b6290400e848294dc816d2376e77993492b3a7c819462­501e1c195ac2e5bb0/detection
https://www.virustotal.com/gui/file/de0609ed07aa71419e8c7ca5c7e2ca6e70ce06b064337bc­333725fd6fe28d4b3/detection
https://www.virustotal.com/gui/file/e35ed505119a886d545f3210c74962c535e0d0e1591fdd5­a9d13b3f56443b723/detection
https://www.virustotal.com/gui/file/e9812f1c6bfff30ffbcda27811e1378ecd1d46cfa72a842­dc709a82835d71037/detection

https://www.virustotal.com/gui/file-analysis/MmRmYjY2Yjc0ZWE0YjBjYWU3YWJkNDY1ZTkxNTRjYTE6MTYzMDc­2MTk5NA==/detection[/CODE]

пример файла:
[QUOTE]Полное имя C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
Имя файла                   APP_WEB_QDEJ0KXZ.DLL
Тек. статус                 АКТИВНЫЙ DLL
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ DLL
File_Id                     6132493F28000
Linker                      11.0
Размер                      140288 байт
Создан                      03.09.2021 в 19:11:43
Изменен                     03.09.2021 в 19:11:44
                           
TimeStamp                   03.09.2021 в 16:11:43
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        496888AF336F11C54580B8DA6178D639A1A1AF2A
MD5                         459A9B4D05142528E55B721C73E7C8CE
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE [16888]
                           [/QUOTE]

надо понять, что это за файлы: свежие, без цифровой, загружены легитимным процессов
Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_BROWSERS.CM1GY-YR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_GLOBAL.ASAX.9ROHC7PQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8\APP_GLOBAL.ASAX.B43PI4NY.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C\APP_GLOBAL.ASAX.CQHP4HAL.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE\APP_GLOBAL.ASAX.F82CQ-3M.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563\APP_GLOBAL.ASAX.FJON4ZRX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742\APP_GLOBAL.ASAX.GFOSMOYG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D\APP_GLOBAL.ASAX.LOVEIRWB.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_GLOBAL.ASAX.N3CT8VNU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F\APP_GLOBAL.ASAX.P7BTXYGD.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B\APP_GLOBAL.ASAX.QXTXGCN5.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA\APP_GLOBAL.ASAX.RGDBHA8I.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667\APP_GLOBAL.ASAX.T_-RLTDU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687\APP_GLOBAL.ASAX.VOPJ5BFR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6\APP_GLOBAL.ASAX.ZIGCDRV_.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_THEME_DEFAULT._PA_PVFA.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_0EXSSJHG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2X1TGTE0.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2ZYUFYVK.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_BZJN21B2.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_DPLFNAEX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FHHKYG34.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FRZ2LSJQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_HHL3EFGE.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_LUOS5NMH.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_MT1YTSHN.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_WEB_O5BJKYBG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_OCV4TGXS.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_WKYXHA1V.DLL
czoo
QUIT
[/code]
без перезагрузки
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в safety@chklst.ru
------------
1 2 3 4 5 6 7 8 9 10 11 ... 1728 След.