Майнеры и KVRT

[thyrex]

21.06.2023 в 14:40, Viktor сказал:

21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

[NikitaDob]

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами. Ну и KVRT, соответственно, тоже. Пока-что только Miner Search более-менее нормально удаляет этот майнер.

Хотя и с ним есть некоторые проблемы.

22 минуты назад, Friend сказал:

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Изменено 21 августа, 2023 пользователем NikitaDob

[safety]

On 22.08.2023 at 01:39, NikitaDob said:

Как мне кажется, возникшая у того человека проблема была не из-за майнера, а из-за чего-то другого. Хотя рано ещё делать какие-либо выводы.

Но, если это окажется действительно так, то это печально.

Столкнулся в конце августа с подобным случаем. Там были вынесены все пользователи из подветок антивирусов в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node.

 

Из активных зловредов в системе был известный кейс с апдейтером Google Chrome:

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f729c5dd782322d8ff2b/behavior

 

Quote

Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ?ВИРУС? ВИРУС в автозапуске
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                            
www.virustotal.com          2023-07-13 17:23 [2023-07-13]
K7AntiVirus                 Trojan ( 005a508c1 )
Symantec                    ML.Attribute.HighConfidence
ESET-NOD32                  a variant of Win64/GenKryptik.GIIA
Kaspersky                   Trojan.Win64.Reflo.caf
BitDefender                 Gen:Variant.Barys.382682
Avast                       Win64:Evo-gen [Trj]
Emsisoft                    Gen:Variant.Barys.382682 (B)
Microsoft                   Trojan:Win32/Wacatac.B!ml
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                            
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                            
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\

После очистки системы, установка по теперь уже понятной причине не пошла.

Добавить пользователя в подветку реестра не получилось, возможно по причине того что regedit запускался с правами Администратора. Удаляли ветки вручную, но regedit запускался уже с правами Системы. psexec -i -d -s c:\windows\regedit.exe.

 

Далее, уже установка прошла успешно.

 

Не факт, конечно, что блокировка была выполнена  именно данным зловредом, но других активных зловредов уже не было, оставались только следы.

                           

 

 

Изменено 21 сентября, 2023 пользователем safety

[akoK]

21.08.2023 в 21:39, NikitaDob сказал:

Да, было бы неплохо доработать AV block remover так, чтобы он удалял задачи на запуск вредоносного батника, восстанавливающего майнер через PowerShell, и сам батник вместе с самораспаковывающимися архивами.

скоро

[akoK]

готово