santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Cryakl/CryLock - этапы "большого пути"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2020 16:18:31

Цитата
Ivan Mintsev написал: Выкладываю все это на гугл-диск

доступ можете добавить?
+
залейте сюда же,
дешифратор, зашифрованный файл, ключ в оригинальном формате+ утилиту поиска ключа, лучше все это поместить в один файл, в архив.

[ Как создать образ автозапуска? ]

Перейти

WORD с макросом, Win32/Emotet.gen

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.12.2020 16:45:37

Цитата
Андрей Сергеев написал: (Подозрительный файл отправил через спец.форму на Вашем сайте).

пришлите данный файл в почту [email protected] для проверки, лучше в архиве с паролем infected
+
добавьте лог журнала обнаружения угроз

[ Как создать образ автозапуска? ]

Перейти

Не удаляются вирусы.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.12.2020 05:20:58

Цитата
Олександра Цюп'як написал: можно ли что-то с этим сделать самостоятельно

добавьте образ автозапуска из uVS

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 14:03:04

да, возможно это одна история,
веб-антивирус не показывает каким способом была инициирована загрузка:
или скриптом при просмотре зараженной страницы,
или это "нерегламентированная" функция, внедренная в код легального расширения браузера.
-----------
историю не так то просто отмотать на момент "Большого взрыва",
слишком много неизвестных, да и объекты распределены по ролям: какой-нибудь эксплойт приводит на зараженную страницу, отрабатывает загрузчик, загрузчик скачивает полезную нагрузку, прячет ее в системе, и прописывает автозапуск - на этом теряется связь. полезная нагрузка может некоторое время маскироваться в системе и спать, и только спустя время пытается загрузиться с систему, чтобы выполнить программу своих отцов-создателей.

+
похоже, что это одна история:
https://forum.kasperskyclub.ru/topic/78972-vredonosnyj-sajt-ot-chrome-gatpsstatcom/

[ Как создать образ автозапуска? ]

Перейти

MSIL/CoinMiner.BGJ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 11:04:22

rundll32.exe загружает его в память через запуск здачи:

Цитата
Полное имя C:\USERS\*\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL Имя файла ADNEKMOD8B4.DLL Тек. статус ВИРУС в автозапуске Обнаруженные сигнатуры Сигнатура MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25 Сохраненная информация на момент создания образа Статус в автозапуске File_Id 5FDC35A8C000 Linker 11.0 Размер 12800 байт Создан 23.12.2020 в 16:02:50 Изменен 23.12.2020 в 16:02:50 TimeStamp 18.12.2020 в 04:52:56 EntryPoint + OS Version 0.0 Subsystem Windows character-mode user interface (CUI) subsystem IMAGE_FILE_DLL + IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя AdNetwork.dll Версия файла 1.0.0.0 Описание AdNetwork Производитель Комментарий Доп. информация на момент обновления списка Файл C:\WINDOWS\SYSTEM32\RUNDLL32.EXE CmdLine C:\USERS\*\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER SHA1 0CBA96ADD40FC610017EF4A2BA8F4220694A1018 MD5 B5BF285378916D5119D87C08917FE872 Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE Prefetcher C:\WINDOWS\Prefetch\Layout.ini

Цитата

Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла ADNEKMOD8B4.DLL
Тек. статус ВИРУС в автозапуске

Обнаруженные сигнатуры
Сигнатура MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 5FDC35A8C000
Linker 11.0
Размер 12800 байт
Создан 23.12.2020 в 16:02:50
Изменен 23.12.2020 в 16:02:50

TimeStamp 18.12.2020 в 04:52:56
EntryPoint +
OS Version 0.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя AdNetwork.dll
Версия файла 1.0.0.0
Описание AdNetwork
Производитель
Комментарий

Доп. информация на момент обновления списка
Файл C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER
SHA1 0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5 B5BF285378916D5119D87C08917FE872

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера

[ Как создать образ автозапуска? ]

Перейти

Троян MSIL/CoinMiner.BGJ, Какойт троян появился на ПК

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 10:51:19

Цитата
Олег Летуновский написал: Вот свежий файл журнала из ESET: https://www.sendspace.com/file/zmt2j7 И на этом пока всё - антивирус молчит. Спасибо, что помогаете. Может ещё dr web cureit помог, которым вчера проверял - он там тоже что-то удалял...

интересно,
возможно, загрузка файла вновь произошла после очистки за предыдущий день в uVS

Цитата
25.12.2020 14:29:54;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\users\Олег\appdata\roaming\microsoft\admodnetw4b8\adnekmod8b4.dll;MSIL/Agent.UFA троянская программа;очищено удалением;;;0CBA96ADD40FC610017EF4A2BA8F4220694A1018;23.12.2020 16:02:50

вчера мы добавили сигнатуру adnekmod8b4.dll в базу ESET и теперь ESET прибивает этот файл еще до момента его запуска.

[ Как создать образ автозапуска? ]

Перейти

Троян MSIL/CoinMiner.BGJ, Какойт троян появился на ПК

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 08:58:46

Цитата
Олег Летуновский написал: Скрин уведомления с eset nod32: https://yadi.sk/i/B986Il8SSvcplg

по скиншоту:
если есть возможность зайдите по ссылке "файл" и проверьте на какой файл указывает ESET

[ Как создать образ автозапуска? ]

Перейти

Троян MSIL/CoinMiner.BGJ, Какойт троян появился на ПК

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 08:56:11

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: C:\Windows\Tasks\3zgPNx83xcOWuSSk12ffUGHlPp.job => C:\Users\\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp.exe <==== ATTENTION Task: C:\Windows\Tasks\rUVHYmPai.job => C:\Users\\AppData\Roaming\rUVHYmPai.exe <==== ATTENTION S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION S1 {36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64; system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64.sys [X] S1 {eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64; system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64.sys [X] 2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\Users\Все пользователи\Doctor Web 2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\ProgramData\Doctor Web 2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp 2018-09-08 18:49 - 2018-09-08 18:49 - 000000230 _____ () C:\Users\Олег\AppData\Roaming\del.bat 2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\rUVHYmPai 2015-04-03 19:06 - 2015-05-12 07:14 - 000000000 _____ () C:\Users\Олег\AppData\Roaming\smw_inst EmptyTemp: Reboot:

Код

GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: C:\Windows\Tasks\3zgPNx83xcOWuSSk12ffUGHlPp.job => C:\Users\\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp.exe <==== ATTENTION
Task: C:\Windows\Tasks\rUVHYmPai.job => C:\Users\\AppData\Roaming\rUVHYmPai.exe <==== ATTENTION
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION
S1 {36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64; system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64.sys [X]
S1 {eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64; system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64.sys [X]
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\Users\Все пользователи\Doctor Web
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\ProgramData\Doctor Web
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp
2018-09-08 18:49 - 2018-09-08 18:49 - 000000230 _____ () C:\Users\Олег\AppData\Roaming\del.bat
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\rUVHYmPai
2015-04-03 19:06 - 2015-05-12 07:14 - 000000000 _____ () C:\Users\Олег\AppData\Roaming\smw_inst
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 07:11:16

+
C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL

ESET-NOD32
MSIL/Agent.UFA

https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd5125475f6fc22491234c/detection

возможно, проблема в этом:

Цитата
Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.

https://habr.com/ru/company/yandex/blog/534586/

судя по нашим случаям у трех их 4 пострадавших пользователей (здесь на форуме) установлено одно из данных расширений:
FRIGATE CDN - СТРАНИЦА УСТАНОВКИ
SAVEFROM.NET ПОМОЩНИК
SAVEFROM.NET ПОМОЩНИК

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.12.2020 18:40:19

Цитата

RP55 RP55 написал:

Цитата
santy написал: могут предоставить больше информации по актуальной угрозе.

Судя по снимку директории сам файл может быть "чистым" просто запускает майнер из директории и дальше он сам...

вполне возможно, что обычный загрузчик, может даже из реестра что-то восстанавливает, как это было в пред. случаях

[ Как создать образ автозапуска? ]

Перейти