[РЕШЕНО] Trojan.Win32.Skillis.blru

[IvanVasil]

Добрый день.
Прошу помочь избавиться от вируса в корпоративной сети.

В сети гуляет троян, определяемый утилитой KVRT как Trojan.Win32.Skillis.blru (В тегах указал определения прочих популярных антивирусов с virustotal)
Он запускает скрипты powershell (вероятно майнинговые, так как процесс грузит CPU на 60-80%). При принудительном завершении процесса - через некоторое время (около 1 часа) запускается снова.
После проникновения вируса появляются данные файлы:
C:\Windows\Temp\сohernece.exe
C:\Windows\Temp\java-log-9527.txt
C:\Users\xxxx\AppData\Local\Temp\сohernece.exe
C:\Windows\System32\Tasks\WindowsLogTasks
C:\Windows\System32\Tasks\System Log Security Check

Также в каталоге C:\Windows\Temp\ появляется текстовый файл с именем a25hY2tlcmVk.txt в котором в явном виде лежат пароли от учеток (иногда доменных)
Скрипты запускаются по-разному на разных машинах - встречались под локальными учетками, доменными, и под учеткой SYSTEM.

Вирус распространяется только в пределах одной подсети (у нас несколько сетей порезаных VLAN), поражает как хосты, так и виртуальные машины на них.
При возможности прошу помочь с созданием скрипта AVZ для сканирования по сети.

Прилагаю логи с одной из машин.

CollectionLog-2019.05.08-17.49.zip

[Sandor]

Здравствуйте!

 

в котором в явном виде лежат пароли от учеток (иногда доменных)

Эти все пароли следует заменить.

 

"Пофиксите" в HijackThis:

O22 - Task: \Microsoft\Windows\ApplicationData\CleanupTemporaryState - C:\Windows\system32 (file missing)
O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe');
 QuarantineFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteSchedulerTask('System Log Security Check');
 DeleteSchedulerTask('WindowsLogTasks');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '');
 DeleteFile('c:\users\admini~1.i-s\appdata\local\temp\cohernece.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[IvanVasil]

Дополнение: на машинах с Windows Server 2016, с включеным Windows Defender и последними установленными апдейтами скрипт не запускается, точнее defender его успешно блокирует. Проблема в том, что парк машин большой, начиная с windows server 2008 r2, разумеется везде смигрировать на 2016 не представляется возможным.

Добрый день.

 

KLAN-10070794875

CollectionLog-2019.05.13-13.08.zip

[Sandor]

KLAN-10070794875

Описание детекта также процитируйте, пожалуйста.

 

По возможности, на время лечения отключите этот компьютер от локальной сети.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\cohernece.exe');
 QuarantineFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '');
 DeleteFile('c:\windows\temp\cohernece.exe', '64');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[IvanVasil]

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

cohernece.exe - Trojan.Win32.Skillis.blru

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.05.13-14.04.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[IvanVasil]

Прикрепляю

Addition.txt

FRST.txt

[Sandor]

IPSec политику настраивали самостоятельно?

[IvanVasil]

Нет. Вероятно предшественники.

Изменено 13 мая, 2019 пользователем IvanVasil

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{15691275-b86b-41a4-97d9-9ee5e001db4a} <==== ATTENTION (Restriction - IP)
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[IvanVasil]

Выполнил

Fixlog.txt

[Sandor]

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[IvanVasil]

Прикрепляю лог.

 

Подскажите - как поступить с остальными машинами?

Я так понимаю устранение уязвимостей само по себе ведь не дает гарантии, что этот компьютер не будет снова поражен.

avz_log.txt

[Sandor]

Устранение уязвимостей (последний скрипт можете применить на любом компьютере), своевременное обновление системы, сложные пароли и конечно антивирус класса Endpoint Security.

Например, этот

 

Рекомендации после удаления вредоносного ПО

 

Если хотите у нас проверить другие компьютеры, для каждого создавайте отдельную тему.

[IvanVasil]

Большое спасибо за помощь!

 

А все же по вопросу скриптов AVZ для сканирования сети не сможете подсказать?