Вирус (уязвимость) создающий пользователя

[vimin]

Здравствуйте!

Столкнулся с проблемой - есть Windows Server 2008R2 со всеми актуальными обновлениями. Однако уже второй месяц подряд на сервере каким-то образом создается пользователь Gama с правами администратора. По журналу Windows видно, что вначале с неизвестного адреса идет попытка авторизации под пользователем Gama, однако в первый раз (на чистом компьютере) это не удается, однако затем по тому же журналу видно, что через пару минут пользователь "система" создает указанного пользователя и присваивает ему права администратора. После этого выполняется повторная проверка для пользователя Gama и там уже светится внешний "вражеский" IP - 126.83.97.14. А еще через пару минут Kaspersky Endpoint 10 отключается вместо с самозащитой, как будто его и не было.

В интернет сервер светит портом RDP и IIS (порты изменены, но в интернет эти службы смотрят). Очень похоже на уязвимость, но обновления все есть, и поиск в интернете ничего похоже не находит. Прошу помочь.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[vimin]

Здравствуйте!

 

Прилагаю логи:

 

CollectionLog-2018.01.19-13.26.zip

[Sandor]

Ammyy Admin - используете?

 

Дополнительно, пожалуйста:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[vimin]

Здравствуйте!

 

Да, Ammyy Admin используется:

 

WIN-SNNHEM6N39D_2018-01-20_09-40-40.7z

[Sandor]

обновления все есть

Проверьте на всякий случай уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

через пару минут Kaspersky Endpoint 10 отключается вместо с самозащитой

С этим обратитесь в ТП через Company Account.

[vimin]

@Sandor, скрипт выполнил. Была найдена одна уязвимость, что отключен UAC. Что-то еще сделать можно?

[Sandor]

Включите UAC и понаблюдайте.

[vimin]

Включите UAC и понаблюдайте.

Могу сказать, что это не помогает. Пробовал еще в том месяце. Пароль на антивирус ставил. Эффекта пока нет.

 

Машину чищу, а ночью некто подключается к машине, пробует авторизоваться под пользователем Gama, у него сначала это не выходит. Затем он авторизуется под учетной записью Гостя, каким-то способом повышает привилегии и создает нового пользователя с правами администратора. И все по новой.

[Sandor]

Пароли на RDP смените. И запрос в ТП обязательно создайте. Такое поведение KES не нормально.

 

Либо обратитесь на официальный форум.

Изменено 20 января, 2018 пользователем Sandor

[regist]

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

Насчёт проц. хакере, да он используется злодеем для отключения антивируса. Но при этом возникает вопрос почему антивирус спокойно позволяет это делать (и задал его его в вашей теме на оф. форуме). А уже от ответа на этот вопрос думаю будет зависеть, как его настроить, чтобы этого больше не происходило. К вирусным этот драйвер не относится, а вот к потенционально опасным должен относиться.

PS. по поводу ссылки, сайт сейчас переежает на другой сервер, если что попробуйте скачать попозже.

[vimin]

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

Насчёт проц. хакере, да он используется злодеем для отключения антивируса. Но при этом возникает вопрос почему антивирус спокойно позволяет это делать (и задал его его в вашей теме на оф. форуме). А уже от ответа на этот вопрос думаю будет зависеть, как его настроить, чтобы этого больше не происходило. К вирусным этот драйвер не относится, а вот к потенционально опасным должен относиться.

PS. по поводу ссылки, сайт сейчас переежает на другой сервер, если что попробуйте скачать попозже.

Да, в настоящее время ведутся плановые работы на указанном Вами ресурсе. Но из названия очевидно, что предлагаете проверить целостность файлов системы утилитой SFC. Скрипт не видел, но проверку выполнял, нарушений целостности на нашел. Это была одна из первых мыслей, что после первого заражения пропатчили что-то в системе. Сейчас правда пришла в голову мысль - не могли ли заодно и подменить файлы с мета-данными, по которым и идет сверка на целостность, но наверное это уже паранойя.

 

Да, я читал на одном из побочных форумов, что КАВ не дает запускать драйвер KProcessHacker при активной самозащите, но это или модифицированный драйвер KPH или вирус использует некую уязвимость.

[regist]

 

 

а, в настоящее время ведутся плановые работы на указанном Вами ресурсе.

уже закончились.

 

 

Скрипт не видел, но проверку выполнял, нарушений целостности на нашел.

всё-таки лучше приложите отчёты.

 

 

пропатчили что-то в системе.

при подобной атаке обычно не патчат, а используют полулегальные утилиты с ЦП, либо даже файлы от MS, просто прописывают их запуск вместо другого. И довольно обидно, что тех. поддержка по сути так от вас отмахнулась. По идее они должны быть заинтересованы в том, как улучшить работу антивируса, а не как быстрей спровадить пользователя с его вопросами.

[vimin]

Вот логи:

 

CBS.LOG

sfcdoc.log

[regist]

 

 

Вот логи:

всё-таки был восстановлен ключ реестра к sysprer и ещё некоторые вещи. Так что проверку и логи сделали не зря. И на всякий случай сделайте ещё

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .