Обновленный вирус IMG001.exe - УЖАСЫ!

Med_ved

Свой человек
Проверенный
Сообщения
319
Розыгрыши
0
Реакции
263
Баллы
482
Хочу поделится одной интересной историей о проникновении вируса в нашу локальную сеть (~900 хостов).
Все началось одним не добрым утром, конкретно 1го января в 8.00, когда пришел на работу, с похмелья еле заварил кофе и включил рабочий пк.
С трудом открыв глаза увидел оповещение от NOD32 (что-то он нашел на сервере обновлений и удалил). Особого значения не придал и отложил на потом.
С 8.30, когда все пришли на рабочие места, начался АД. Телефонные звонки в отдел поступали каждые 5 секунд (не смотря на то что это 1 января) и так до 11.00 (потом телефоны просто выключил). Дело попахивало говном когда работаешь в такой день один.
Сразу принялся проверять основные сервера, т.к. доменные групповые политики были настроены на ура и у обычных пользователей просто не хватало привилегий распространить данные в сети. Не чего не обнаружив решил провести анализ трафика и определить каким образом данный вирус попадает на мой рабочий ПК. Выручил старый добрый Wireshark. Обнаружив место распространения решил провести анализ ещё на парочке зараженных станций. Все говно поступало с одного хоста. Пришлось за ним сходить и в последствии изъять. Оказался обычный ПК и обычный непривилегированный глупый пользователь.
Используя межсетевой экран, систему контроля ESET и базовые утилиты стало понятно, что некий Иванов Иван Иванович принял на свою почту 2 изображения. Одно из них было действительно приятным поздравлением с новым годом, а второе было под названием PHOTO.EXE и подписью ("Если картинка не отображается в письме, то запусти на ПК, рисовала для тебя"). Мур-мур бл**ь.
И тут начинается самое интересное, инфицирование в сети прекратилось после изъятия. В "котле" возник вопрос: "Каким образом данный вирус распространился по сети ?" Найдя топик на одном из форумов наткнулся на идентичную (не решенную) проблему в которой тоже, как оказалось, ни кто понятия не имеет каким образом распространяется вирус обходя все настройки фаервола. Оказалось что эта дрянь обычный криптомайнер. Запуская процесс на инфицированном компьютере (забирая все ресурсы ПК) он передавал данные на определенные сервера за что получал доход на несколько кошельков. Но за счет чего он распространялся по сети мне так и не понятно.
И это не конец, через неделю вирус опять появился, но уже на 3 разных хостах! Решать нужно было как можно скорее т.к. ЦП на инфицированных ПК был нагружен на 100% и людям работать было не выносимо. А обнаружить зараженный хост в 3 больших помещениях очень сложно.
Благодаря Wireshark выяснил куда отправляет пакеты инфицированный пк. Вычислил 13 серверов:
TCP: mine.moneropool.com:8080
TCP: mine.moneropool.com:3336
TCP: xmr.hashinvest.net:443
TCP: xmr.hashinvest.net:5555
TCP: monero.crypto-pool.fr:3333
TCP: monerohash.com:5555
TCP: mine.xmr.unipool.pro:3333
TCP: xmr.prohash.net:5555
TCP: xmr.miner.center:2777
TCP: mine.xmr.unipool.pro:80
TCP: pool.minexmr.com:7777
TCP: cryptonotepool.org.uk:7777
TCP: mro.poolto.be:3000
Заблокировали хосты. Данные отдавать инфицированным ПК было не куда и работа нормализовалась. Заранее до этого всего передали инфицированный файл PHOTO.EXE в ESET на анализ. В последствии чего следующее их обновления избавило нас от этой дряни.
На компьютерах где не был установлен антивирус (~80 хостов) решение немножко сложнее. Т.к. данный вирус прописывался в планировщике и копировал сам себя в несколько директорий решением стало применение доменных политик на исполнение обычного бат файла который останавливает запущенные вредоносные процессы и удаляет вирус с пк.
 

CrazyCort

Заблокирован
Пользователь
Сообщения
61
Розыгрыши
0
Реакции
5
Баллы
92
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
Таких троянов пруд пруди.Я не доверяю продуктам nod32,лучше использовать drweb или касперский.
 

Influence

Бывалый
Проверенный
Сообщения
871
Розыгрыши
0
Реакции
407
Баллы
565
KES его вообще не определяет как вредонос
хз, с KIS вообще проблем не было, кроме того, что пару раз за 5 лет ловил себе кейлогеры по своей же глупости, в течении полу часа KIS определял кейлогер, и все заканчивалось полной сменой паролей(не смотрел я что он стилил) на паре десятках емейлов, вм\стим, и основных используемых доменах
 

Angelika

Заблокирован
Местный
Сообщения
297
Розыгрыши
0
Реакции
95
Баллы
178
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
PHOTO.EXE
Благодаря Wireshark

Так подшивают в картинку вирус , или стилер что тут сложного.
Удобно делать анализ на виртуальной машине пример VirtualBox
Оказалось что эта дрянь обычный криптомайнер.

Майнеры криптовалюты , чем больше юзверей тем больше $ капает )
оповещение от NOD32

Если бы был залит свежий фуд ты бы вообще нечего не увидел )


 

Med_ved

Свой человек
Проверенный
Сообщения
319
Розыгрыши
0
Реакции
263
Баллы
482
Так подшивают в картинку вирус , или стилер что тут сложного.
Сложно понять как можно сохранить exe поверив что это фото..
Удобно делать анализ на виртуальной машине пример VirtualBox
Там было не до разворачивания виртуалки когда блокнот открывал от 3 минут, да и ситуация не простая, сразу не сообразишь ни чего, тем более 1го числа )
Майнеры криптовалюты , чем больше юзверей тем больше $ капает )
У них не мало видимо накапало с нас за 8 часов ?)
Если бы был залит свежий фуд ты бы вообще нечего не увидел )
Есть подозрения что это связано с Mal/Miner-C который заразил аналогом 1000+ NAS. Его до сих пор не видитят Dr.Web, ESET & KES. Криптотроян постоянно обновляется. А авторы рубят по 500 евро в день )) Вирусняк интересен тем, что он пытается распространяться как червь. Инфицировавший одну систему, он пытается скопировать себя по FTP по случайно сгенерированным IP-адресам со стандартными именами пользователя и паролями.
Но было бы как минимум подозрительно когда звонят 10 раз в чат и кричат: "тормозит комп" )
 

xLaPax

SystemCity-Team/Jr. Core developer
Местный
Сообщения
232
Розыгрыши
0
Реакции
89
Баллы
361
Приносили мне ноуты и пк на диагностику, с таким характером "Запускаю я комп\ноут и он глючит, не могу нормально работать\играть". Что самое удивительное, в декабре прошлого года 5шт и за январь с началом февраля 3шт, тог 8 систем я чистил от майнеров. Задал вопрос каждому один и тот же "Что вы в последнее время закачивали, где и когда это началось всё?", оказывается, не всех посещает мысль если нужны драйвера или программу то посетить оф.сайт, обычно лезут на такие как "Без регистрации лялял юкоз сайты" и т.д.
 

Med_ved

Свой человек
Проверенный
Сообщения
319
Розыгрыши
0
Реакции
263
Баллы
482
Приносили мне ноуты и пк на диагностику, с таким характером "Запускаю я комп\ноут и он глючит, не могу нормально работать\играть". Что самое удивительное, в декабре прошлого года 5шт и за январь с началом февраля 3шт, тог 8 систем я чистил от майнеров. Задал вопрос каждому один и тот же "Что вы в последнее время закачивали, где и когда это началось всё?", оказывается, не всех посещает мысль если нужны драйвера или программу то посетить оф.сайт, обычно лезут на такие как "Без регистрации лялял юкоз сайты" и т.д.
Майнеры они сами запускали и забывали (бывает и такое) или это вирусня была ? В автозагрузку и планировщик залазила ?
 

xLaPax

SystemCity-Team/Jr. Core developer
Местный
Сообщения
232
Розыгрыши
0
Реакции
89
Баллы
361
Майнеры они сами запускали и забывали (бывает и такое) или это вирусня была ? В автозагрузку и планировщик залазила ?
Это как раз привязанный майнер уже настроенный и при запуске вылазит, под псевдо программой какой то. Не видно в процессах но привязывается к ехплореру так само заседает в реестре и в глубинах уже самого каталога вин. Как червяк, легко обнаружить др.вебом или любым тройсканером. Эта дрянь достаточно хорошо распространилась, крысотные(хитрые) майнеры не желают тратить свой ресурс:-). Чеврячёк Майнер есть разных модификаций и видов поражений, есть как легкодоступный в инете так и платный.
 
Последнее редактирование:

Angelika

Заблокирован
Местный
Сообщения
297
Розыгрыши
0
Реакции
95
Баллы
178
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
Сложно понять как можно сохранить exe поверив что это фото..

Там было не до разворачивания виртуалки когда блокнот открывал от 3 минут, да и ситуация не простая, сразу не сообразишь ни чего, тем более 1го числа )

У них не мало видимо накапало с нас за 8 часов ?)

Есть подозрения что это связано с Mal/Miner-C который заразил аналогом 1000+ NAS. Его до сих пор не видитят Dr.Web, ESET & KES. Криптотроян постоянно обновляется. А авторы рубят по 500 евро в день )) Вирусняк интересен тем, что он пытается распространяться как червь. Инфицировавший одну систему, он пытается скопировать себя по FTP по случайно сгенерированным IP-адресам со стандартными именами пользователя и паролями.
Но было бы как минимум подозрительно когда звонят 10 раз в чат и кричат: "тормозит комп" )
Не доводилось работать с майном криптовалют , так частично поверхностно , даже если регать амазон и ставить туда 4 потоковый софт смысл
больше 4 процессоров не будет задействовано, тем софтом что был в шаре и попадался на глаза мне , а от антивирусов помогает фуд криптор ,
правда живет он не долго особенно если взят с шары , если делаешь лично то конечно сроки подольше , главное на вирус тотал не заливай его )
обычные протекторы типа вм протект тоже не видят некоторые антивирусы если понимаешь о чём я пишу.
ну может и не 500 евро но точно денешка там не малая крутиться думаю мм есть о чем подумать ).
го реверсить прогу майнера? ))
 
Сверху Снизу