Размещено 10.10.2018 10:21:41
Вот 2 темы, на форуме Доктор веба и Касперского. Приведу оттуда цитаты
[URL=https://forum.drweb.com/index.php?showtopic=329116]https://forum.drweb.com/index.php?showtopic=329116[/URL]
"Данный драйвер используется в целенаправленных атаках, поэтому он добавлен в базы и исключен от туда не будет."
"Малвари ничего не мешает подключится к рабочему драйверу, оставляя этот драйвер, тем самым вы оставляете огромную дыру с правами системы для компрометации."
Вирус отключает KES 10 - [URL=https://forum.kaspersky.com/index.php?/topic/386051-%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%D0%B5%D1%82-kes-10/]https://forum.kaspersky.com/index.php?/topic/386051-%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D0%BE%D1%82%D0%B...[/URL]
Сообщение от пользователя vimin, цитата ---->
"Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС." --------- конец цитаты.
[URL=https://forum.drweb.com/index.php?showtopic=329116]https://forum.drweb.com/index.php?showtopic=329116[/URL]
"Данный драйвер используется в целенаправленных атаках, поэтому он добавлен в базы и исключен от туда не будет."
"Малвари ничего не мешает подключится к рабочему драйверу, оставляя этот драйвер, тем самым вы оставляете огромную дыру с правами системы для компрометации."
Вирус отключает KES 10 - [URL=https://forum.kaspersky.com/index.php?/topic/386051-%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%D0%B5%D1%82-kes-10/]https://forum.kaspersky.com/index.php?/topic/386051-%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D0%BE%D1%82%D0%B...[/URL]
Сообщение от пользователя vimin, цитата ---->
"Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС." --------- конец цитаты.