Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Trojan.Win32.Skillis.blru

Trojan.Win32.Skillis.blru Trojan.Siggen7.54756 Spyware.InfoStealer.Themida сohernece.exe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 18

#1 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 10:28

Добрый день.
Прошу помочь избавиться от вируса в корпоративной сети.

В сети гуляет троян, определяемый утилитой KVRT как Trojan.Win32.Skillis.blru (В тегах указал определения прочих популярных антивирусов с virustotal)
Он запускает скрипты powershell (вероятно майнинговые, так как процесс грузит CPU на 60-80%). При принудительном завершении процесса - через некоторое время (около 1 часа) запускается снова.
После проникновения вируса появляются данные файлы:
C:\Windows\Temp\сohernece.exe
C:\Windows\Temp\java-log-9527.txt
C:\Users\xxxx\AppData\Local\Temp\сohernece.exe
C:\Windows\System32\Tasks\WindowsLogTasks
C:\Windows\System32\Tasks\System Log Security Check

Также в каталоге C:\Windows\Temp\ появляется текстовый файл с именем a25hY2tlcmVk.txt в котором в явном виде лежат пароли от учеток (иногда доменных)
Скрипты запускаются по-разному на разных машинах - встречались под локальными учетками, доменными, и под учеткой SYSTEM.

Вирус распространяется только в пределах одной подсети (у нас несколько сетей порезаных VLAN), поражает как хосты, так и виртуальные машины на них.
При возможности прошу помочь с созданием скрипта AVZ для сканирования по сети.

Прилагаю логи с одной из машин.

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 10:47

Здравствуйте!

в котором в явном виде лежат пароли от учеток (иногда доменных)

Эти все пароли следует заменить.

"Пофиксите" в HijackThis:
O22 - Task: \Microsoft\Windows\ApplicationData\CleanupTemporaryState - C:\Windows\system32 (file missing)
O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe');
 QuarantineFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteSchedulerTask('System Log Security Check');
 DeleteSchedulerTask('WindowsLogTasks');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 12:10

Дополнение: на машинах с Windows Server 2016, с включеным Windows Defender и последними установленными апдейтами скрипт не запускается, точнее defender его успешно блокирует. Проблема в том, что парк машин большой, начиная с windows server 2008 r2, разумеется везде смигрировать на 2016 не представляется возможным.


Добрый день.

 

KLAN-10070794875

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 12:36

KLAN-10070794875

Описание детекта также процитируйте, пожалуйста.

По возможности, на время лечения отключите этот компьютер от локальной сети.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.



Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 13:15

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

cohernece.exe - Trojan.Win32.Skillis.blru

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 13:25

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 13:36

Прикрепляю

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   57,95К   скачиваний 1
  • Прикрепленный файл  FRST.txt   22,55К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 14:26

IPSec политику настраивали самостоятельно?
  • 0
Изображение

#9 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 14:58

Нет. Вероятно предшественники.


Сообщение отредактировал IvanVasil: 13 Май 2019 - 14:58

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 15:03

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{15691275-b86b-41a4-97d9-9ee5e001db4a} <==== ATTENTION (Restriction - IP)
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#11 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 15:08

Выполнил

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   942байт   скачиваний 1

  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 15:28

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • 0
Изображение

#13 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 15:41

Прикрепляю лог.

 

Подскажите - как поступить с остальными машинами?

Я так понимаю устранение уязвимостей само по себе ведь не дает гарантии, что этот компьютер не будет снова поражен.

Прикрепленные файлы

  • Прикрепленный файл  avz_log.txt   221байт   скачиваний 1

  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 13 Май 2019 - 16:22

Устранение уязвимостей (последний скрипт можете применить на любом компьютере), своевременное обновление системы, сложные пароли и конечно антивирус класса Endpoint Security.
Например, этот :)

Рекомендации после удаления вредоносного ПО

Если хотите у нас проверить другие компьютеры, для каждого создавайте отдельную тему.
  • 0
Изображение

#15 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 13 Май 2019 - 16:45

Большое спасибо за помощь!

 

А все же по вопросу скриптов AVZ для сканирования сети не сможете подсказать?


  • 0





Темы с аналогичными тегами: Trojan.Win32.Skillis.blru, Trojan.Siggen7.54756, Spyware.InfoStealer.Themida, сohernece.exe

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных