Win64/CoinMiner.DN

Printable View

20.01.2018, 22:51
cas1k

Вложений: 1

Win64/CoinMiner.DN

[COLOR=#333333]Добрый день. Возник рецидив проблемы, описанной ранее в [URL="https://virusinfo.info/showthread.php?t=216231"]теме[/URL]. Теперь майнер запускается службой Plug-and-Play Service (UmPnpSvc), которая маскируется якобы под системную. В папке system32 появился исполняемый файл umpnpsvc.exe ([URL="https://www.virustotal.com/ru/file/e3d8abaea9e46ec6699c729b24c877b46e17b8618982ce1b0a0dcdad106b82c3/analysis/"]ссылка на [/URL][/COLOR][URL="https://www.virustotal.com/ru/file/e3d8abaea9e46ec6699c729b24c877b46e17b8618982ce1b0a0dcdad106b82c3/analysis/"]virustotal[/URL]), который предположительно является вредоносным. Симптомы аналогичны: [COLOR=#333333]наблюдается загрузка ЦП до 25% процессом svchost.exe, появляется [/COLOR][COLOR=#333333]новая учетная запись [/COLOR][COLOR=#333333]"Gama" [/COLOR][COLOR=#333333]с правами администратора. Логи сняты после удаления службы, исполняемого файла и учетной записи. [/COLOR][COLOR=#333333]Прошу оказать содействие в решении проблемы.[/COLOR]
20.01.2018, 22:52
Info_bot

Уважаемый(ая) [B]cas1k[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.01.2018, 07:12
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Windows\system32\x64.sys','');
QuarantineFile('C:\x64.sys','');
QuarantineFile('C:\Program Files\x64.sys','');
QuarantineFile('C:\Windows\data.txt','');
QuarantineFile('C:\Program Files\Common Files\x64.sys','');
QuarantineFile('C:\Program Files (x86)\x64.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/code]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
23.01.2018, 07:53
cas1k

Вложений: 1

Архив карантина отправил, но AVZ несколько раз ругнулся следующим образом:
[QUOTE]Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\x64.sys)
Карантин с использованием прямого чтения - ошибка[/QUOTE]Прикрепляю лог uVS.
23.01.2018, 21:06
Vvvyg

[url]http://www.cleverence.ru/news/kriticheskoe-obrashchenie-po-bezopasnosti/[/url]
Через Mobile SMARTS ломают, несколько тем подобных на форуме было. Обновляйте, закрывайте к нему доступ снаружи.

Содержимое файла C:\Windows\data.txt тоже наводит на мысли:[CODE]22.01.2018 10:40:01 SERVICES: DeleteService: WinDefend
22.01.2018 10:40:01 SERVICES: DeleteService: MsMpSvc
22.01.2018 10:40:01 SERVICES: DeleteService: SepMasterService
22.01.2018 10:40:01 SERVICES: DeleteService: DrWebEngine
22.01.2018 10:40:01 SERVICES: DeleteService: DrWebAVService
22.01.2018 10:40:01 SERVICES: DeleteService: avp
22.01.2018 10:40:01 SERVICES: DeleteService: AVP
22.01.2018 10:40:01 SERVICES: DeleteService: AVP18.0.0
22.01.2018 10:40:01 SERVICES: DeleteService: AVP17.0.0
22.01.2018 10:40:01 SERVICES: DeleteService: AVP15.0.2
22.01.2018 10:40:01 SERVICES: DeleteService: KAVFS
22.01.2018 10:40:01 SERVICES: DeleteService: ekrn
22.01.2018 10:40:26 SERVICES: DeleteService: Success
22.01.2018 10:40:26 SERVICES: DeleteService: a2AntiMalware
22.01.2018 10:40:26 SERVICES: DeleteService: ZAMSvc
22.01.2018 10:40:26 SERVICES: DeleteService: AntiVirService
22.01.2018 10:40:26 SERVICES: DeleteService: QHActiveDefense
22.01.2018 10:41:05 KPH: InstallDriver
22.01.2018 10:41:05 KPH: InstallDriver success
22.01.2018 10:41:18 UPnP: Found 1 devices
22.01.2018 10:41:19 UPnP: Device: ZyXEL Keenetic Lite II
22.01.2018 10:41:19 UPnP: Service: urn:schemas-upnp-org:service:Layer3Forwarding:1
22.01.2018 10:41:19 UPnP: Device: WANDevice
22.01.2018 10:41:19 UPnP: Service: urn:schemas-upnp-org:service:WANCommonInterfaceConfig:1
22.01.2018 10:41:19 UPnP: Device: WANConnectionDevice
22.01.2018 10:41:19 UPnP: Service: urn:schemas-upnp-org:service:WANIPConnection:1
22.01.2018 10:41:19 UPnP: Initialize success
22.01.2018 10:41:20 UPnP: Mapped 8100
22.01.2018 10:41:20 UPnP: Mapped 9100
22.01.2018 10:41:20 UPnP: Mapped 10100
22.01.2018 10:41:20 UPnP: Mapped 11100
22.01.2018 10:41:20 UPnP: Mapped 12100
22.01.2018 10:41:20 CONFIG: Listen success
22.01.2018 10:41:20 UPnP: Mapped 51515
22.01.2018 10:41:20 SHELL: Started successfully[/CODE]
Ломают, отключают антивирусы, получают shell. Как и в прошлой теме - проблемы безопасности.
UPnP на роутере отключите.
Ещё у вас там Bind торчит наружу, он точно должен быть доступен? Дыра, как минимум, потенциальная.
25.01.2018, 02:07
cas1k

Обновил ПО Mobile SMARTS, доступ извне локальной сети закрыл. UPnP на роутере отключил, насчет Bind'a не уверен (закрыть 53-й порт?).

Вадим, спасибо огромное за помощь! Напишите, пожалуйста, как вас можно отблагодарить, а то с регистрацией в PayPal какие-то проблемы (в списке стран отсутствует Россия).
25.01.2018, 07:10
Vvvyg

Вариант через Яндекс.Деньги, даже при отсутствии своего кошелька можно просто пополнить через банкомат Сбера, например, без комиссии.

53-й порт лучше закрыть, зачем быть публичным DNS-сервером.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, прикрепите его к сообщению.
25.01.2018, 09:34
cas1k

Часто используемые уязвимости не обнаружены.
25.01.2018, 20:36
Vvvyg

Тогда всё на этом.
25.01.2018, 20:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]