1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Скрыть объявление

Привет посетитель! У нас на форуме тебе откроются дополнительные разделы, которые скрыты от гостей! А так же ты найдёшь много полезной информации.

Обновленный вирус IMG001.exe - УЖАСЫ!

Тема в разделе "Новости ит", создана пользователем Med_ved, 6 фев 2017.

Метки:
  1. Med_ved

    Med_ved Свой человек Проверенный

    Регистрация:
    22 май 2015
    Сообщения:
    311
    Симпатии:
    253
    Баллы:
    402
    Хочу поделится одной интересной историей о проникновении вируса в нашу локальную сеть (~900 хостов).
    Все началось одним не добрым утром, конкретно 1го января в 8.00, когда пришел на работу, с похмелья еле заварил кофе и включил рабочий пк.
    С трудом открыв глаза увидел оповещение от NOD32 (что-то он нашел на сервере обновлений и удалил). Особого значения не придал и отложил на потом.
    С 8.30, когда все пришли на рабочие места, начался АД. Телефонные звонки в отдел поступали каждые 5 секунд (не смотря на то что это 1 января) и так до 11.00 (потом телефоны просто выключил). Дело попахивало говном когда работаешь в такой день один.
    Сразу принялся проверять основные сервера, т.к. доменные групповые политики были настроены на ура и у обычных пользователей просто не хватало привилегий распространить данные в сети. Не чего не обнаружив решил провести анализ трафика и определить каким образом данный вирус попадает на мой рабочий ПК. Выручил старый добрый Wireshark. Обнаружив место распространения решил провести анализ ещё на парочке зараженных станций. Все говно поступало с одного хоста. Пришлось за ним сходить и в последствии изъять. Оказался обычный ПК и обычный непривилегированный глупый пользователь.
    Используя межсетевой экран, систему контроля ESET и базовые утилиты стало понятно, что некий Иванов Иван Иванович принял на свою почту 2 изображения. Одно из них было действительно приятным поздравлением с новым годом, а второе было под названием PHOTO.EXE и подписью ("Если картинка не отображается в письме, то запусти на ПК, рисовала для тебя"). Мур-мур бл**ь.
    И тут начинается самое интересное, инфицирование в сети прекратилось после изъятия. В "котле" возник вопрос: "Каким образом данный вирус распространился по сети ?" Найдя топик на одном из форумов наткнулся на идентичную (не решенную) проблему в которой тоже, как оказалось, ни кто понятия не имеет каким образом распространяется вирус обходя все настройки фаервола. Оказалось что эта дрянь обычный криптомайнер. Запуская процесс на инфицированном компьютере (забирая все ресурсы ПК) он передавал данные на определенные сервера за что получал доход на несколько кошельков. Но за счет чего он распространялся по сети мне так и не понятно.
    И это не конец, через неделю вирус опять появился, но уже на 3 разных хостах! Решать нужно было как можно скорее т.к. ЦП на инфицированных ПК был нагружен на 100% и людям работать было не выносимо. А обнаружить зараженный хост в 3 больших помещениях очень сложно.
    Благодаря Wireshark выяснил куда отправляет пакеты инфицированный пк. Вычислил 13 серверов:
    TCP: mine.moneropool.com:8080
    TCP: mine.moneropool.com:3336
    TCP: xmr.hashinvest.net:443
    TCP: xmr.hashinvest.net:5555
    TCP: monero.crypto-pool.fr:3333
    TCP: monerohash.com:5555
    TCP: mine.xmr.unipool.pro:3333
    TCP: xmr.prohash.net:5555
    TCP: xmr.miner.center:2777
    TCP: mine.xmr.unipool.pro:80
    TCP: pool.minexmr.com:7777
    TCP: cryptonotepool.org.uk:7777
    TCP: mro.poolto.be:3000
    Заблокировали хосты. Данные отдавать инфицированным ПК было не куда и работа нормализовалась. Заранее до этого всего передали инфицированный файл PHOTO.EXE в ESET на анализ. В последствии чего следующее их обновления избавило нас от этой дряни.
    На компьютерах где не был установлен антивирус (~80 хостов) решение немножко сложнее. Т.к. данный вирус прописывался в планировщике и копировал сам себя в несколько директорий решением стало применение доменных политик на исполнение обычного бат файла который останавливает запущенные вредоносные процессы и удаляет вирус с пк.
     
    necr0x и kick нравится это.
  2. CrazyCort

    CrazyCort Заблокирован Пользователь

    Регистрация:
    10 май 2016
    Сообщения:
    61
    Симпатии:
    5
    Баллы:
    92
    Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
    Таких троянов пруд пруди.Я не доверяю продуктам nod32,лучше использовать drweb или касперский.
     
  3. Med_ved

    Med_ved Свой человек Проверенный

    Регистрация:
    22 май 2015
    Сообщения:
    311
    Симпатии:
    253
    Баллы:
    402
    KES его вообще не определяет как вредонос
     
  4. Influence

    Influence Свой человек Проверенный

    Регистрация:
    14 июн 2015
    Сообщения:
    855
    Симпатии:
    412
    Баллы:
    485
    хз, с KIS вообще проблем не было, кроме того, что пару раз за 5 лет ловил себе кейлогеры по своей же глупости, в течении полу часа KIS определял кейлогер, и все заканчивалось полной сменой паролей(не смотрел я что он стилил) на паре десятках емейлов, вм\стим, и основных используемых доменах
     
  5. Angelika

    Angelika Заблокирован Местный

    Регистрация:
    20 авг 2016
    Сообщения:
    294
    Симпатии:
    95
    Баллы:
    178
    Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.

    Так подшивают в картинку вирус , или стилер что тут сложного.
    Удобно делать анализ на виртуальной машине пример VirtualBox

    Майнеры криптовалюты , чем больше юзверей тем больше $ капает )

    Если бы был залит свежий фуд ты бы вообще нечего не увидел )


     
  6. Med_ved

    Med_ved Свой человек Проверенный

    Регистрация:
    22 май 2015
    Сообщения:
    311
    Симпатии:
    253
    Баллы:
    402
    Сложно понять как можно сохранить exe поверив что это фото..
    Там было не до разворачивания виртуалки когда блокнот открывал от 3 минут, да и ситуация не простая, сразу не сообразишь ни чего, тем более 1го числа )
    У них не мало видимо накапало с нас за 8 часов ?)
    Есть подозрения что это связано с Mal/Miner-C который заразил аналогом 1000+ NAS. Его до сих пор не видитят Dr.Web, ESET & KES. Криптотроян постоянно обновляется. А авторы рубят по 500 евро в день )) Вирусняк интересен тем, что он пытается распространяться как червь. Инфицировавший одну систему, он пытается скопировать себя по FTP по случайно сгенерированным IP-адресам со стандартными именами пользователя и паролями.
    Но было бы как минимум подозрительно когда звонят 10 раз в чат и кричат: "тормозит комп" )
     
  7. xLaPax

    xLaPax SystemCity-Team/Jr. Core developer Проверенный

    Регистрация:
    6 апр 2015
    Сообщения:
    220
    Симпатии:
    92
    Баллы:
    281
    Приносили мне ноуты и пк на диагностику, с таким характером "Запускаю я комп\ноут и он глючит, не могу нормально работать\играть". Что самое удивительное, в декабре прошлого года 5шт и за январь с началом февраля 3шт, тог 8 систем я чистил от майнеров. Задал вопрос каждому один и тот же "Что вы в последнее время закачивали, где и когда это началось всё?", оказывается, не всех посещает мысль если нужны драйвера или программу то посетить оф.сайт, обычно лезут на такие как "Без регистрации лялял юкоз сайты" и т.д.
     
  8. Med_ved

    Med_ved Свой человек Проверенный

    Регистрация:
    22 май 2015
    Сообщения:
    311
    Симпатии:
    253
    Баллы:
    402
    Майнеры они сами запускали и забывали (бывает и такое) или это вирусня была ? В автозагрузку и планировщик залазила ?
     
  9. xLaPax

    xLaPax SystemCity-Team/Jr. Core developer Проверенный

    Регистрация:
    6 апр 2015
    Сообщения:
    220
    Симпатии:
    92
    Баллы:
    281
    Это как раз привязанный майнер уже настроенный и при запуске вылазит, под псевдо программой какой то. Не видно в процессах но привязывается к ехплореру так само заседает в реестре и в глубинах уже самого каталога вин. Как червяк, легко обнаружить др.вебом или любым тройсканером. Эта дрянь достаточно хорошо распространилась, крысотные(хитрые) майнеры не желают тратить свой ресурс:-). Чеврячёк Майнер есть разных модификаций и видов поражений, есть как легкодоступный в инете так и платный.
     
    Последнее редактирование: 6 фев 2017
  10. Angelika

    Angelika Заблокирован Местный

    Регистрация:
    20 авг 2016
    Сообщения:
    294
    Симпатии:
    95
    Баллы:
    178
    Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
    Не доводилось работать с майном криптовалют , так частично поверхностно , даже если регать амазон и ставить туда 4 потоковый софт смысл
    больше 4 процессоров не будет задействовано, тем софтом что был в шаре и попадался на глаза мне , а от антивирусов помогает фуд криптор ,
    правда живет он не долго особенно если взят с шары , если делаешь лично то конечно сроки подольше , главное на вирус тотал не заливай его )
    обычные протекторы типа вм протект тоже не видят некоторые антивирусы если понимаешь о чём я пишу.
    ну может и не 500 евро но точно денешка там не малая крутиться думаю мм есть о чем подумать ).
    го реверсить прогу майнера? ))
     
Похожие темы
  1. Ethernal
    Ответов:
    0
    Просмотров:
    400
  2. kick

    Фильм Вирус

    kick, 13 авг 2016, в разделе: Фильмы
    Ответов:
    0
    Просмотров:
    177
  3. ღ Kate ღ

    Сериал Штам

    Ответов:
    0
    Просмотров:
    201
  4. necr0x
    Ответов:
    15
    Просмотров:
    363
  5. TheGriz
    Ответов:
    10
    Просмотров:
    255
Загрузка...