Перейти к содержимому


RomaNNN

Дата рег: 02 Окт 2010
Оффлайн Был(а) онлайн: Вчера, 18:53
****-

Сообщения пользователя

В теме:Windows Powershell

05 Декабрь 2019 - 15:29

https://news.sophos.com/en-us/2019/10/01/lemon_duck-powershell-malware-cryptojacks-enterprise-networks/


В теме:Windows Powershell

05 Декабрь 2019 - 12:59

По поводу сабжа - насколько вижу, в системе побывал Monero Mining Worm aka WannaMine, который любит эксплуатировать EthernalBlue, EsteemAudit, а также трюки с PowerShell-ом. Еще может создавать админские учетки для своих нужд, так что устройте аудит на предмет левых пользователей, расшаренных каталогов, RDP сессий.


В теме:CureIt! портит свою командную строку

05 Декабрь 2019 - 12:14

Eugene Muzychenko, клик должен работать, только что проверил, зеленое имя угрозы кликабельно и открывает браузер с поиском по базе на vms (https://vms.drweb.com/search/?q=). Но там уж как повезет, описание далеко не каждой малвари есть в публичной базе.


В теме:CureIt! портит свою командную строку

05 Декабрь 2019 - 10:40

Здравствуйте.

 

Да, есть такое, поправим.


В теме:Проверьте ОС (Windows 7).

05 Декабрь 2019 - 10:19

Smart_D15, как я уже говорил, в системе живет куча непонятно чего. Те файлы, которые мне приглянулись при осмотре, аналитики посмотрели и угроз не нашли. Но на 100 процентов утверждать ничего нельзя, тем более с этой аномалией незагрузки драйвера. Может быть руткит, а может баг какой-то.

 

Если есть желание и время, можно заморочиться с переносом системы в виртуалку, очисткой от конфиденциальных и ненужных тяжелых данных и передачи виртуалки нам, так будет проще дебажить, ибо этот случай уникальный. Главное чтобы при клонировании аномалия не ушла, а то обидно будет :)

Если интересно, напишу инструкции в ЛС.