Активность майнера наблюдалась на форумах безопасности (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, хотя отзывы о проблеме судя по поискам в сети пошли ранее (ноябрь-декабрь 2020г)
По отчету [URL=https://securelist.ru/ad-blocker-with-miner-included/100732/]Лаборатории Касперского на securelist.ru[/URL], активное детектирование зловредов началось с февраля 2021 года.
1.
[QUOTE] Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.[/QUOTE]
185.201.47.42,142.4.214.15\DNS Server list
2.
[QUOTE] После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.[/QUOTE]
C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade
3.
[QUOTE] Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.[/QUOTE]
Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.
[QUOTE] ....
\Flock\config.json
\Flock\data.pak
\Flock\Flock.exe
\Flock\lic.data
\Flock\Qt5Core.dll
\Flock\WinRing0x64.sys
...[/QUOTE]
4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE
Удовлетворяет критериям
THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]
FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)]
FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)]
pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C
Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP
Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32[/QUOTE]
далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо[B], Sandor-у [/B]за оперативно [URL=https://www.cyberforum.ru/post15308023.html]добавленный диалог[/URL]:
+
[B]Vvvyg[/B] - за скрипт экспорта журналов для анализа,
+
[B]Virus Monitoring Service Doctor Web Ltd[/B]. за поиск тела майнера в папке модулей flock
благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.
[QUOTE]EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00
[/QUOTE]
К событию были добавлены следующие сведения:
[QUOTE]EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00[/QUOTE]
по образу из uVS видим что Discord.exe запускается через задачу:
[QUOTE]Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE
Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28
SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3
Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min[/QUOTE]
[QUOTE]4.11.5 o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.[/QUOTE]
Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]
Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11
Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2
pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]
+
[QUOTE]4.11.6 o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.[/QUOTE]