Поиск

В корпоративной сети появился и разползся вирус. Антивирусы определяют его как: HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с) [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT] Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe. Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны. Зараженные машины выявлялись, пролечивались, устанавливался антивирус. После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия. Прошу проконсультировать: 1. Как вывести заразу с серверов (и, возможно, с клиентских машин) 2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса 3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь. Заранее благодарю. Это была преамбула, теперь более развернутая информация: Сервера: С их диагностики всё началось, с ними же грустнее всего. В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897 После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие). Находилось следующее: Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws. Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему. Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический". Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет. И, возможно, еще что-то делает не такое явное. Блок сообщений с одного из серверов: Время: 26.08.2021 2:06:54 Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws. Имя объекта: WMI-Consumer:SCM Event8 Log Consumer Время: 26.08.2021 2:06:55 Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws. Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 Время: 26.08.2021 2:50:51 Обнаружен веб-адрес. . Имя объекта: http://45.10.69.139:8000/in6.ps1 Компьютер: network Пользователь: KR-TERM\Администратор Имя процесса: wmiprvse.exe PID: 3884 Время: 26.08.2021 6:55:28 Обнаружен веб-адрес. . Имя объекта: http://45.10.69.139:8000/in6.ps1 Компьютер: network Пользователь: KR-TERM\Администратор Имя процесса: wmiprvse.exe PID: 3884 На других серверах дополнительно появляются сообщения с другими пользователями и процессом: Обнаружен веб-адрес. . Имя объекта: http://45.10.69.139:8000/in6.ps1 Компьютер: localhost Пользователь: WORKGROUP\FIL-T2$ Имя процесса: services.exe PID: 764 Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления. Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Компьютер: VIRTUALMACHINE Пользователь: VIRTUALMACHINE\Администратор Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd. Имя объекта: C:\Windows\System32\mue.exe MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff Компьютер: network Пользователь: VIRTUALMACHINE\Администратор Клиентские компьютеры: Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась. При отключения Касперского машина заражается. Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса: Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит. Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины): Объект: powershell.exe Угроза: PowerShellDownLoader.1452 Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe Объект: CommandLineTemplate Угроза: PowerShellMulDrop.129 Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate powershell.exe может быть несколько, CommandLineTemplate обычно один. После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины. При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную. KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой". После перезагрузки запустил автоматический сбор логов. Прикладываю файлы сканирования с сервера. CollectionLog-2021.08.26-15.38.zip

Добрый день. На нескольких компьютерах начали появляться процессы PowerShell нагружающие CPU. Иногда в c:\windows\temp либо в c:\windows\users\*username*\appdata\local\temp появляются файлы cohernece.exe, и часто java-log-9527.log плюс a25hY2tlcmVk.txt с паролями в открытом виде. Определяется KVRT под несколькими названиями: trojan.multi.genautoruntask.c, trojan.multi.genautoruntaskfile.a, trojan.multi.genautorunwmi.a., Trojan.Win32.Skillis.blru Windows Defender определяет как Nitol.B. Ни тот, ни другой его не лечат. Причем на некоторых компьютерах cohernece.exe определяется KVRT, на некоторых не определяется. Заранее спасибо.