От
Burila
В корпоративной сети появился и разползся вирус.
Антивирусы определяют его как:
HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server]
Trojan.Multi.GenAutorunWMI.a (или .с) [Kaspersky Cloud на клиентских машинах]
PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT]
Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
Прошу проконсультировать:
1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
Заранее благодарю.
Это была преамбула, теперь более развернутая информация:
Сервера:
С их диагностики всё началось, с ними же грустнее всего.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH
После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет.
И, возможно, еще что-то делает не такое явное.
Блок сообщений с одного из серверов:
Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
Время: 26.08.2021 2:50:51
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884
Время: 26.08.2021 6:55:28
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884
На других серверах дополнительно появляются сообщения с другими пользователями и процессом:
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: localhost
Пользователь: WORKGROUP\FIL-T2$
Имя процесса: services.exe
PID: 764
Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Компьютер: VIRTUALMACHINE
Пользователь: VIRTUALMACHINE\Администратор
Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
Имя объекта: C:\Windows\System32\mue.exe
MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
Компьютер: network
Пользователь: VIRTUALMACHINE\Администратор
Клиентские компьютеры:
Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
При отключения Касперского машина заражается.
Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса:
Trojan.Multi.GenAutorunWMI.a (компьютер 1)
Trojan.Multi.GenAutorunReg.c (компьютер 2)
После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
После перезагрузки запустил автоматический сбор логов.
Прикладываю файлы сканирования с сервера.
CollectionLog-2021.08.26-15.38.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти