[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

[VEE 5]

Здравствуйте.

Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.

Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек

Помогите пожалуйста.

 

 

Изменено 30 ноября, 2020 пользователем VEE
забыл написать чего хочу

[VEE 5]

CollectionLog-2020.12.01-00.26.zip assm.zip

[thyrex 1 210]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe');
 QuarantineFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','');
 DeleteFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[VEE 5]

Загрузил.

Файл сохранён как	201202_091012_quarantine_5fc759f42c168.zip
Размер файла	453
MD5	e7c80cd0f36fb5450b5e3c84502642ee

Автологи во вложении:

 

CollectionLog-2020.12.02-12.18.zip

[thyrex 1 210]

Что сейчас с проблемой?

[VEE 5]

Файл assm.exe стабильно пересоздается раз в минуту с разным интервалом. Касперский его стабильно убивает.

[SQ 754]

Здравствуйте,

 

В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него?

Могли бы пожалуйста просмотреть задачи на SQL сервере и прислать нам экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017).

 

Спасибо.

[VEE 5]

в SQL сервере крутится три базы какого-то самописного сетевого софта. Пароли не менял.

 

Я не смог посмотреть задачи на SQL-сервере.

Зашел в SQL Management от учетки локального админа компьютера. Но нигде не увидел SQL Server Agent

[SQ 754]

1) У вас есть, что-то похожее?

Spoiler

 

или

 

Spoiler

2)Уточните пожалуйста, а вы можете на время отключить базы-данных, и убедиться в том, что не он является виновником?

[VEE 5]

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Да, отключить базы я смогу. В ближайшее нерабочее время это сделаю. Надо остановить сервисы SQL или как-то отключить отдельные базы в работающем SQL?

 

 

[SQ 754]

13 hours ago, VEE said:

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Странно, могли бы проверить пожалуйста если не присутствуют какие-то подозрительные учетные записи на SQL Server или в Windows?
Проверьте ваша базу по умолчанию, если в ней присутствуют какие-то левые таблицы?

Важно перед любыми манипуляциями с базой-данных сделать резервную копию и хранить их в разных источниках (облака, сетевой диск и т.п.)
 

Необходимо будет отключить сервисы через консоль SQL Server, чтобы база-данных отключилась корректно.

Перед выключением баз-данных скачайте пожалуйста Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[SQ 754]

Похожий на ваш случай - SQL Server, MrbMiner the new malware that infects SQL Server!

Проверьте пожалуйста, если в учетных записях имеется имя пользователя:
 

The backdoor account has the username "Default" and a password of "@ fg125kjnhn987".

Если он присутствует, вам необходимо его как минимум отключить, так как это может способствовать проникновению в вашу инфраструктуру.

Попробуйте также выполнить описанный в статье T-SQL:
 

SELECT

      [name],

      [type_desc],

      is_disabled,

      create_date,

      modify_date

FROM sys.server_principals

ORDER BY modify_date desc

и проверить роль пользователя.

[VEE 5]

Здравствуйте.

Да, появление новых assm.exe совпадает с работой службы SQL server. Работает sql - появляются файлы.

Да, пользоватьель Windows с именем default в группе Администраторов присутствует в системе. Я его отключил.

Отчеты FRST во вложении.

SQL запрос о пользователях SQL сделал, но там я пользователя default не увидел. Отдельно default в сервере SQL не создавался. Зато там присутствуют свежемодифицированные пользователи "Mssqla", "sa", "dbhelp" с ролями sysadmin и несколько учеток, похожих на пользовательские с ролями public, одна из них тоже sysadmin.

Остальные учетки не менялись дольше, чем предположительно произошло заражение (июль-август 2020). Отчет во вложении

 

Кроме этого, я обратил внимание на присутствие большого количество виндовых служб с разными названиями, оканчивающихся на "3c37c", например:

"CDPUserSvc_3c37c" - C:\Windows\system32\svchost.exe -k UnistackSvcGroup

И все эти службы - это svchost.exe с каким-то значением ключа -k

frst.rar SQL_logins.txt

[SQ 754]

Слишком подозрительное следующее обновление Windows в каталоге SQL Server:

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe

пожалуйста самостоятельно ничего не удаляйте.


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Users\Serv\AppData\Roaming\IsolatedStorage
File: C:\Windows\system32\IHDS.dll
File: C:\Windows\system32\sysmain.dll
File: C:\Windows\SysWOW64\TextInputMethodFormatter.dll
File: C:\Windows\system32\TextInputMethodFormatter.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
Zip: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: возможно будет выполнена перезагрузка компьютера.

 

[VEE 5]

Выполнил

 

Fixlog.txt