Размещено 10.10.2018 10:21:41
Вот 2 темы, на форуме Доктор веба и Касперского. Приведу оттуда цитаты
"Данный драйвер используется в целенаправленных атаках, поэтому он добавлен в базы и исключен от туда не будет."
"Малвари ничего не мешает подключится к рабочему драйверу, оставляя этот драйвер, тем самым вы оставляете огромную дыру с правами системы для компрометации."
Вирус отключает KES 10 -
Сообщение от пользователя vimin, цитата ---->
"Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС." --------- конец цитаты.
"Данный драйвер используется в целенаправленных атаках, поэтому он добавлен в базы и исключен от туда не будет."
"Малвари ничего не мешает подключится к рабочему драйверу, оставляя этот драйвер, тем самым вы оставляете огромную дыру с правами системы для компрометации."
Вирус отключает KES 10 -
Сообщение от пользователя vimin, цитата ---->
"Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС." --------- конец цитаты.