1

Тема: Підхватив майнер...

Підхватив десь майнер... ESET пише що то CoinMiner.BMO і він знаходиться в "C:\Windows\System32\gpscript.exe".
Процес хакер показує його дочірній процес vssadmin.exe, і в нього такі параметри запуску:

 0 -o phfndpfp.ru:140 -u x -p Gefest:x -k --max-cpu-usage=50 --cpu-priority=0 --donate-level=1

Обидва процеси, як показує процес хакер, верифіковані і рожевим кольором не позначенні. Навантаження на ЦП та відеокарту нема.
Що з цим робити?

[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

2

Re: Підхватив майнер...

gpscript та vssadmin - стандартні віндошні утиліти, майнер використовує дірки в них.

Подякували: /KIT\1

3 Востаннє редагувалося /KIT\ (28.06.2018 00:04:49)

Re: Підхватив майнер...

А як від нього позбавитись?

лог антивірусу
Час;Сканер;Тип об’єкта;Об’єкт;Загроза;Дія;Користувач;Інформація;Хеш;Уперше помічено тут
27.06.2018 20:38:19;Захист файлової системи в режимі реального часу;файл;C:\ProgramData\2d9f2aaa-9ab0-4c25-8e7e-6612fb7cd011\1b8de.exe;варіант Win32/CoinMiner.BMO троян;очищений видаленням;USER-PC12\USER-PC12;Подія під час спроби запуску файла програмою: C:\Windows\System32\rundll32.exe (1C99C20757B039D88F59B02B7753A730A90BF2AD).;58BA728E46AB17CE1D93A3A8753AAA814DA38FEA;27.06.2018 20:35:02
28.06.2018 00:03:28;Захист файлової системи в режимі реального часу;файл;C:\Users\USER-PC12\AppData\Local\Microsoft\Windows\INetCache\IE\WTCJAUZ4\mops[1].exe;варіант Win32/CoinMiner.BMO троян;очищений видаленням;USER-PC12\USER-PC12;Подія з файлом, зміненим програмою: C:\Program Files\CCleaner\CCleaner64.exe (06BE4852566F0D2AB2C19A2B7707EB77AEBD0EC0).;58BA728E46AB17CE1D93A3A8753AAA814DA38FEA;27.06.2018 20:35:03
[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

4

Re: Підхватив майнер...

А це вже складніше, якщо антивірус не може.
Проскануйте систему парою одноразових сканерів.
Переберіть все автозавантаження (не тільки через стандартне віндошне меню, а чимось на кшталт https://docs.microsoft.com/en-us/sysint … s/autoruns ).
Проскануйте систему ще раз, завантажившися з чистого диску.
Якщо не допомагає - переставте з повним форматуванням.

Подякували: 0x9111A, /KIT\2

5

Re: Підхватив майнер...

Отаке знайшов в планувальнику задач, галочку зняв.

\2d9f2aaa-9ab0-4c25-8e7e-6612fb7cd0110    Хост-процесс Windows (Rundll32)    Microsoft Corporation    c:\windows\system32\rundll32.exe    02.04.2032 05:35    
"rundll32.exe" url.dll,OpenURLA C:\ProgramData\2d9f2aaa-9ab0-4c25-8e7e-6612fb7cd011\1b8de.exe
[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

6

Re: Підхватив майнер...

koala написав:

gpscript та vssadmin - стандартні віндошні утиліти, майнер використовує дірки в них.

Тобто? Code caves чи вразливості?

[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

7

Re: Підхватив майнер...

Але його хтось туди поставив. Після перезавантаження відновилося?

Подякували: /KIT\1

8

Re: Підхватив майнер...

ні

[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

9

Re: Підхватив майнер...

Все! Майнер зник. Після перезавантажування вінди процесів gpscript, vssadmin на фоні вже нема. Зробив повне сканування, загроз нема. Вже не з'являються повідомлення про знайдену загрозу в оперативній пам'яті.

Дякую за допомогу!

[x|x<-[2..],all(>0)[x`mod`y|y<-[2..x-1]]]

10

Re: Підхватив майнер...

/KIT\ написав:
koala написав:

gpscript та vssadmin - стандартні віндошні утиліти, майнер використовує дірки в них.

Тобто? Code caves чи вразливості?

А я звідки можу знати, що саме робить той майнер?

Подякували: /KIT\1

11 Востаннє редагувалося morgot (18.07.2018 15:40:25)

Re: Підхватив майнер...

Code caves чи вразливості?

/KIT\, якщо вам цікаво, і ще є той файл майнера, скиньте, я скажу, як саме він працює. Але врядлі якісь вразливості, максимум банальний інжект, і то. Не зустрічав майнерів, складніше чим - скачати публічний xmrig, видалити візуальні компоненти-добавити свій пул і примітивні малваре-компоненти.