Отправлено 09 Июнь 2021 - 19:06
до недавнего времени проблем не было, даже в исключения добавлять не требовалось
До недавнего времени был баг в продуктах и соответствующий эвристик малвари не работал, пофиксили в arkapi 12.6, который вышел недавно.
Майнер юзает известный уязвимый подписанный драйвер для доступа к ядру, что характерно для малвари.
2021-Jun-09 17:44:28.314788 [ 5700] [INF] [arkdll] [4636]
id: 23623, timestamp: 17:43:43.336, type: ServiceStart (58), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 816/6740:\Device\HarddiskVolume2\Windows\System32\services.exe
behaviour: create_service, drop_executable, modify_executable
request by: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988
fileinfo: size: 3383296, easize: 40, attr: 0x820, buildtime: 31.05.2021 08:54:06.000, ctime: 31.05.2021 15:10:53.000, atime: 09.06.2021 17:43:32.893, mtime: 31.05.2021 15:10:53.000, descr: , ver: , company: , oname:
file sha1: 538517570633101313678d599c5f9bc070b118e0
file sha256: faca05b104ce7e7022ec79c3c0dde4a61f120583436647e00b766fd4bec80081
status: unsigned, pe32, new_pe, dot_net / unsigned / unknown / unknown / unknown
svc name: WinRing0_1_2_0, wow64: 0
hips: type: 3, action: allow [2]
svc command: \??\C:\NHML\OpenHardwareMonitorLib.sys
cmd:
resolved path: C:\NHML\OpenHardwareMonitorLib.sys, status: db_cert_white_list, signed, pe64, driver (600204)
fileinfo: size: 14544, easize: 40, attr: 0x820, buildtime: 26.07.2008 16:29:37.000, ctime: 31.05.2021 15:11:45.000, atime: 09.06.2021 17:43:41.245, mtime: 09.06.2021 17:43:41.245, descr: WinRing0, ver: 1.2.0.5, company: OpenLibSys.org, oname: WinRing0.sys
signer: C=JP|CN=Noriyuki MIYAZAKI, timestamp: 26.07.2008 16:30:38.000, thumbprint: cda98ac4019456095593902e4b4a87ac283ed54a
file sha1: d25340ae8e92a6d29f599fef426a2bc1b5217299
file sha256: 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
status: db_cert_white_list, signed, pe64, driver / signed / unknown / unknown / white
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> denied access to file
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> suspended all threads in process
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> terminated
disinfect: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> denied access to file
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined
disinfect: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined [8]
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
id: 23623 ==> denied [5], time: 44976.028800 ms
Исключения не поддержаны, сделаем.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.