Перейти к содержимому


Фото
- - - - -

Помогите удалить троян


  • Please log in to reply
8 ответов в этой теме

#1 JusticeP

JusticeP

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Апрель 2020 - 12:45

На компьютере начались проблемы с  SQL Server, антивирусная проверка показала наличие следующих угроз:


"Дата";"Компонент";"Код";"Событие"
"
31.03.2020 9:15";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >ps.exe</span>";"Угроза: BAT.BtcMine.34";
"Действие: Перемещено";"Путь: <span class="path" >C:\Windows\System32\ps.exe</span>"
"
31.03.2020 9:15";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >sqlbrowser.exe</span>";"Угроза: Trojan.DownLoader27.14976";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\DataFiles\Microsoft\Temp\sqlbrowser.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >sqlbrowser.exe</span>";"Угроза: Trojan.DownLoader28.10410";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\DataFiles\Microsoft\Fonts\sqlbrowser.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >csrss.exe</span>";"Угроза: Tool.BtcMine.1798";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\CodeGear\Microsoft Office\DataFiles\Windows\Config\Microsoft\Images\csrss.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >csrss.exe</span>";"Угроза: Tool.BtcMine.1798";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\CodeGear\Microsoft Office\DataFiles\Windows\Config\Microsoft\csrss.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >2.vbs</span>";"Угроза: VBS.DownLoader.1155";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\2.vbs</span>"

После удаления сканером DrWeb или KVRT через некоторое время троян появляется снова, DR.Web в отчёте формирует запись такого вида:

"Дата";"Компонент";"Код";"Событие"
"
01.04.2020 8:52";"SpIDer Guard";"600";"Обнаружена угроза";"Объект: <span class="path" >TmpA266.tmp</span>";"Угроза: Trojan.DownLoader24.58636";
"Действие: Перемещено";"Путь: <span class="path" >C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp</span>"

Файл с логами прилагаю

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 744 Сообщений:

Отправлено 01 Апрель 2020 - 12:45

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 894 Сообщений:

Отправлено 01 Апрель 2020 - 13:04

1) Рекомендую обновить антивирус до актуальной 12 версии.

 

Логи в процессе анализа.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 894 Сообщений:

Отправлено 01 Апрель 2020 - 14:00

Сам SQL Server является точкой проникновения в данном случае:
 

2020-Mar-31 14:33:58.925829 [ 4668] [INF] [arkdll] [720]

id: 16711, timestamp: 14:33:58.879, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-19, cid: 4048/2400:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll
  fileinfo: size: 302551, easize: 39, attr: 0x2020, buildtime: 27.04.2019 23:03:27.000, ctime: 31.03.2020 14:33:56.149, atime: 31.03.2020 14:33:56.149, mtime: 31.03.2020 14:33:58.863, descr: , ver: , company: , oname:
  hash: 4310544fbd1b01e9decfb75e5a25592d822447c5 status: unsigned, pe32 / unsigned / unknown / unknown
  type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\psa[1].jpg
id: 16711 ==> allowed [2], time: 50.668469 ms

2020-Mar-31 14:34:46.022312 [ 4672] [INF] [arkdll] [720]

id: 16995, timestamp: 14:34:46.022, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-19, cid: 4048/2304:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll
  fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 31.03.2020 14:34:46.022, atime: 31.03.2020 14:34:46.022, mtime: 31.03.2020 14:34:46.022, descr:  , ver: 0.0.0.0, company: , oname: ExecCode.dll
  hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown
  type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp916.tmp
id: 16995 ==> allowed [2], time: 1.691618 ms

2020-Mar-31 16:00:01.572929 [ 4684] [INF] [arkdll] [1032]

id: 21912, timestamp: 16:00:01.432, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-19, cid: 4048/6028:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll
  fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 31.03.2020 16:00:01.432, atime: 31.03.2020 16:00:01.432, mtime: 31.03.2020 16:00:01.432, descr:  , ver: 0.0.0.0, company: , oname: ExecCode.dll
  hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown
  type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp
id: 21912 ==> allowed [2], time: 131.561655 ms

2020-Apr-01 08:52:15.523168 [ 5340] [INF] [arkdll] [1208]

id: 5278, timestamp: 08:52:15.491, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-19, cid: 1972/5544:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
context: start addr: 0x6ef429e1, image: 0x6ef40000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll
fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 01.04.2020 08:52:15.476, atime: 01.04.2020 08:52:15.476, mtime: 01.04.2020 08:52:15.491, descr: , ver: 0.0.0.0, company: , oname: ExecCode.dll
hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown
type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp
id: 5278 ==> allowed [2], time: 36.596491 ms

2020-Apr-01 08:52:28.579992 [ 5340] [INF] [arkdll] [1372] 

id: 5367, timestamp: 08:52:28.548, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-19, cid: 1972/2392:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
context: start addr: 0x6ef429e1, image: 0x6ef40000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll
  created process: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe:1972 => \Device\HarddiskVolume2\Windows\System32\cmd.exe:4196
  sid: S-1-5-19, bitness: 32, ilevel: system, sesion id: 0, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: "C:\Windows\system32\cmd.exe" /c taskkill /f /im 360sd.exe&taskkill /f /im zhudongfangyu.exe&taskkill /f /im 360tray.exe&taskkill /f /im 360rp.exe&taskkill /f /im 360rps.exe
  status: signed_microsoft, script_vm, spc / signed_microsoft / unknown / cmd
object: cmdline ==> Ok [0]
id: 5367 ==> allowed [2], time: 15.763759 ms

И соответствующие сигнатурные детекты:

20200328.182635 [CL,LO] C:\Windows\inf\c3.bat - infected with BAT.BtcMine.34
20200328.182635 [CL,LO] C:\Windows\inf\n.vbs - infected with VBS.Starter.179
20200328.182717 [CL,LO] C:\Windows\inf\c3.bat - quarantined (20,1K 42062/211ms 95KB/s) [C:\windows\system32\ps.exe:2812] {NTOP-ZAGS-49\User:NTOP-ZAGS-49\None}
20200328.182732 [CL,LO] C:\Windows\inf\n.vbs - quarantined (207B 57158/227ms 0KB/s) [C:\windows\system32\ps.exe:2812] {NTOP-ZAGS-49\User:NTOP-ZAGS-49\None}
 
20200331.160001 [CL,LO] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp - infected with Trojan.DownLoader24.58636
20200331.160014 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp - quarantined (5,5K 13282/166ms 33KB/s) [D:\sql2008r2\mssql10_50.mssqlserver\mssql\binn\sqlservr.exe:4048] {NT AUTHORITY\LOCAL SERVICE:NT AUTHORITY\LOCAL SERVICE}
 
20200401.085215 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp - infected with Trojan.DownLoader24.58636
20200401.085253 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp - quarantined (5,5K 38064/63ms 86KB/s) [D:\sql2008r2\mssql10_50.mssqlserver\mssql\binn\sqlservr.exe:1972] {NT AUTHORITY\LOCAL SERVICE:NT AUTHORITY\LOCAL SERVICE}

Ну и IP:

[31/03/2020 12:05:18 00001714] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=5836, user S-1-5-19): 49515 -> ( 49516 -> 49517 ) -> 150.107.76.227:80
[31/03/2020 12:05:18 00001714] <DEBUG:1> Trying to connect to: 150.107.76.227:80

[31/03/2020 12:07:34 000013ac] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=5836, user S-1-5-19): 49548 -> ( 49549 -> 49550 ) -> 139.5.177.10:280
[31/03/2020 12:07:34 000013ac] <DEBUG:1> Trying to connect to: 139.5.177.10:280

[31/03/2020 14:30:48 000010a4] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=4048, user S-1-5-19): 50439 -> ( 50440 -> 50441 ) -> 69.30.200.178:80
[31/03/2020 14:30:48 000010a4] <DEBUG:1> Trying to connect to: 69.30.200.178:80

Сообщение было изменено RomaNNN: 01 Апрель 2020 - 14:00

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 983 Сообщений:

Отправлено 01 Апрель 2020 - 14:08

1. Ставьте несловарный пароль на все учетки SQL сервера

2. Удалите вредоносную(ые) job из SQL сервера

3. Установите MS17-010, если не стоит

 

Только после этого можно будет говорить о лечении.



#6 JusticeP

JusticeP

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Апрель 2020 - 14:54

Скажите пожалуйста, а может быть троян в самой базе в SQL? Поставил SQL на чистой машине, присоединил базу и снова та же проблема.



#7 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 067 Сообщений:

Отправлено 23 Апрель 2020 - 17:13

ИМХО в базе нет, он по сети распространяется. И заражает все машины с уязвимостями. Так что установка актуальных обновлений обязательна на всех машинах.

#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 356 Сообщений:

Отправлено 23 Апрель 2020 - 20:11

в теории может, в хранимых процедурах можно всякое творить


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 983 Сообщений:

Отправлено 24 Апрель 2020 - 14:57

Скажите пожалуйста, а может быть троян в самой базе в SQL? Поставил SQL на чистой машине, присоединил базу и снова та же проблема.

 

Про удаление job-ов из базы не просто так было сказано. Вредоносный код в них - реальность уже несколько лет.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых