[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

[VEE]

Вредонос появляется сразу же после загрузки компьютера. Касперский его сразу же убивает. Затем вредонос появляется почти каждую минуту.

 

Триггер задач BackupAlbionGL, *CL, *Setevik - ежедневно в 20:00

Изменено 6 декабря, 2020 пользователем VEE

[SQ]

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: c:\windows\temp\sqlmanagement\assm.exe
Folder: c:\windows\temp\sqlmanagement
Folder: C:\Users\TEMP
Folder: C:\tmp
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Agent Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Host Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service"
File: C:\Windows\system32\runexehelper.exe
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: возможно будет выполнена перезагрузка компьютера.

2) Я установил SQL Server Express Edition на тестовой платформе и не нашел следующих пользователей (по умолчанию):

  Quote

Mssqla    SQL_LOGIN    0    2020-02-25 23:41:28.363    2020-11-22 11:39:55.017
v    SQL_LOGIN    0    2020-10-17 15:50:48.870    2020-10-17 15:50:48.883
dbhelp    SQL_LOGIN    0    2020-09-04 09:42:25.767    2020-10-11 10:17:04.560
SQLEXPRESS    SQL_LOGIN    0    2020-07-23 22:12:04.560    2020-07-23 22:12:04.727

Показать  

Если они вам незнакомы, то отключите их временно (не удаляйте, пока не убедитесь что они не вредоносные) Status-> Login -> Disable . Важно: перед отключением убедиться, чтобы хотя бы одна учетная запись активная имела права администратора.
Закройте временно доступ к SQL серверу из интернета, смените все легкие пароли на более сложные.

  Quote

FirewallRules: [{D28CCD45-04CA-4E47-A266-DE4AB83B9EB6}] => (Allow) LPort=1433

Показать  

3) Уточните пожалуйста, если на указанном ПК имеется FTP сервер? Так как имеется информация, что он еще использует его в качестве взлома тоже.

[VEE]

Подозрительные учетные записи MSSQL я отключил.

Скрипт FRST выполнил, лог во вложении. После перезагрузки вредонос продолжает появляться.

Компьютер был недавно спрятан внутрь VPN.

FTP-сервера на компьютере нет.

Fixlog.txtПолучение информации...

Изменено 6 декабря, 2020 пользователем VEE

[SQ]

Здравствуйте,

Уточните пожалуйста, если временно отключить все службы связанные с SQL Server (Startup type: Disable), чтобы после перезагрузки они были выключенными также.
Важно запишите текущее состояние запуска указанных служб, чтобы можно было вернуть обратно после теста (Automatic, Manual, etc).

Далее заархивировать копии куда-нибудь и далее удалить каталог:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement

 

Убедиться, что учетная запись Default выключена.

 

После этих манипуляции, если перезагрузиться майнер возвращается?

[VEE]

Проверил:

Если остановить SQL2014 и перевести службу в ручной запуск, то после перезагрузки майнер не возвращается. Через 25 минут я запустил SQL2014, и assm.exe сразу же создался.

Затем я выключил SQL2014, assm.exe продолжил создаваться.

Сейчас попробую все службы и забекапить и удалить SqlManagment.

[SQ]

Я бы хотел убедиться, что нет вредоносных файлов в каталогах запуска SQL (например файла:SqlServer.dll ) выполните пожалуйста следующий фикс.

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL?
(например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

[VEE]

Запустил скрипт. Логи во вложении.

Тормознул все службы SQL, запретил запуск. Перезагрузился - вредоноса не видно.

Удалил все файлы в папке SqlManagement, папку оставил.

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

 

Бегло проглядел все базы. Таблиц с именем mbrminer или какой еще miner я не заметил.

Fixlog.txtПолучение информации...

Изменено 6 декабря, 2020 пользователем VEE

[thyrex]

  В 06.12.2020 в 19:46, SQ сказал:

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL? (например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

Показать  

Еще вот это не заметили.

[SQ]

Могли бы пожалуйста посмотреть если в следующей папке имеются какие-то файлы?
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\JOBS

 

Могли бы просмотреть следующие логи или приложить в следующем сообщение для анализа предварительно заархивировав:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\ERRORLOG
C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\FDLAUNCHERRORLOG

Хотелось понять если в них видны аномалии.

[VEE]

логи SQL

Папка JOBS пуста

 

sqlLog.rarПолучение информации...

Изменено 6 декабря, 2020 пользователем VEE

[SQ]

Спасибо, к сожалению ничего не увидел в них интересного.

Давайте посмотрим на параметры запуска всех служб SQL Server, может в них что-то есть.
 

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLFDLauncher$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReportServer$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014" /s
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

[VEE]

логи во вложении

Fixlog.txtПолучение информации...

[thyrex]

https://www.hybrid-analysis.com/sample/3e0f474785b4e9320bb7c52863c05b0d940bbaa19e643e4e3891048e7965853f/5a3cc7627ca3e15b12139bc3

В секции File Imports перечислены библиотеки, которые использует файл SQLAGENT.EXE.

Упакуйте в архив все указанные dll и пришлите.

[VEE]

Какие-то конкреные копии или вообще все копии каждой библиотеки?

[thyrex]

Те, которые системные, - из папок system32 и syswow64 

А остальные специфические для самого SQL