Перейти к содержанию

Рекомендуемые сообщения

Добрый день.
Прошу помочь избавиться от вируса в корпоративной сети.

В сети гуляет троян, определяемый утилитой KVRT как Trojan.Win32.Skillis.blru (В тегах указал определения прочих популярных антивирусов с virustotal)
Он запускает скрипты powershell (вероятно майнинговые, так как процесс грузит CPU на 60-80%). При принудительном завершении процесса - через некоторое время (около 1 часа) запускается снова.
После проникновения вируса появляются данные файлы:
C:\Windows\Temp\сohernece.exe
C:\Windows\Temp\java-log-9527.txt
C:\Users\xxxx\AppData\Local\Temp\сohernece.exe
C:\Windows\System32\Tasks\WindowsLogTasks
C:\Windows\System32\Tasks\System Log Security Check

Также в каталоге C:\Windows\Temp\ появляется текстовый файл с именем a25hY2tlcmVk.txt в котором в явном виде лежат пароли от учеток (иногда доменных)
Скрипты запускаются по-разному на разных машинах - встречались под локальными учетками, доменными, и под учеткой SYSTEM.

Вирус распространяется только в пределах одной подсети (у нас несколько сетей порезаных VLAN), поражает как хосты, так и виртуальные машины на них.
При возможности прошу помочь с созданием скрипта AVZ для сканирования по сети.

Прилагаю логи с одной из машин.

CollectionLog-2019.05.08-17.49.zip

post-0-0-91299000-1557732493_thumb.png

post-0-0-09660600-1557732494_thumb.png

post-0-0-26565000-1557732494_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

в котором в явном виде лежат пароли от учеток (иногда доменных)

Эти все пароли следует заменить.

 

"Пофиксите" в HijackThis:

O22 - Task: \Microsoft\Windows\ApplicationData\CleanupTemporaryState - C:\Windows\system32 (file missing)
O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe');
 QuarantineFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteSchedulerTask('System Log Security Check');
 DeleteSchedulerTask('WindowsLogTasks');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дополнение: на машинах с Windows Server 2016, с включеным Windows Defender и последними установленными апдейтами скрипт не запускается, точнее defender его успешно блокирует. Проблема в том, что парк машин большой, начиная с windows server 2008 r2, разумеется везде смигрировать на 2016 не представляется возможным.


Добрый день.

 

KLAN-10070794875

CollectionLog-2019.05.13-13.08.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KLAN-10070794875

Описание детекта также процитируйте, пожалуйста.

 

По возможности, на время лечения отключите этот компьютер от локальной сети.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

cohernece.exe - Trojan.Win32.Skillis.blru

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.05.13-14.04.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

IPSec политику настраивали самостоятельно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет. Вероятно предшественники.

Изменено пользователем IvanVasil

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{15691275-b86b-41a4-97d9-9ee5e001db4a} <==== ATTENTION (Restriction - IP)
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прикрепляю лог.

 

Подскажите - как поступить с остальными машинами?

Я так понимаю устранение уязвимостей само по себе ведь не дает гарантии, что этот компьютер не будет снова поражен.

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Устранение уязвимостей (последний скрипт можете применить на любом компьютере), своевременное обновление системы, сложные пароли и конечно антивирус класса Endpoint Security.

Например, этот :)

 

Рекомендации после удаления вредоносного ПО

 

Если хотите у нас проверить другие компьютеры, для каждого создавайте отдельную тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Большое спасибо за помощь!

 

А все же по вопросу скриптов AVZ для сканирования сети не сможете подсказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

  • Похожий контент

    • От IvanVasil
      Добрый день.
       
      На нескольких компьютерах начали появляться процессы PowerShell нагружающие CPU. Иногда в c:\windows\temp либо в c:\windows\users\*username*\appdata\local\temp появляются файлы cohernece.exe, и часто java-log-9527.log плюс a25hY2tlcmVk.txt с паролями в открытом виде. Определяется KVRT под несколькими названиями: trojan.multi.genautoruntask.c, trojan.multi.genautoruntaskfile.a, trojan.multi.genautorunwmi.a., Trojan.Win32.Skillis.blru Windows Defender определяет как Nitol.B. Ни тот, ни другой его не лечат. Причем на некоторых компьютерах cohernece.exe определяется KVRT, на некоторых не определяется.
       
      Заранее спасибо.
×
×
  • Создать...