Trojan.Multi.Accesstr.a
Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории.
В схожих запросах от пользователей встречали следующее:
Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе.
Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно.
Необходимо самостоятельно заменить файл на оригинальный.
Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe
Стоит сразу проверить указанный файл.
В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей)
Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные:
"%SystemRoot%\\system32\\osk.exe",
"%SystemRoot%\\syswow64\\osk.exe",
"%SystemRoot%\\system32\\magnify.exe",
"%SystemRoot%\\syswow64\\magnify.exe",
"%SystemRoot%\\system32\\displayswitch.exe",
"%SystemRoot%\\syswow64\\displayswitch.exe",
"%SystemRoot%\\system32\\atbroker.exe",
"%SystemRoot%\\syswow64\\atbroker.exe",
"%SystemRoot%\\system32\\utilman.exe",
"%SystemRoot%\\syswow64\\utilman.exe",
"%SystemRoot%\\system32\\sethc.exe",
"%SystemRoot%\\syswow64\\sethc.exe",
"%SystemRoot%\\system32\\easeofaccessdialog.exe",
"%SystemRoot%\\syswow64\\easeofaccessdialog.exe",
"%SystemRoot%\\system32\\narrator.exe",
"%SystemRoot%\\syswow64\\narrator.exe",
Найти проблемный файл можно следующим образом:
Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe
Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1
Ссылки по теме:
https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/
https://attack.mitre.org/wiki/Technique/T1015
http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/
Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта.
НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.
- 4
2 Комментария
Рекомендуемые комментарии
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти