Появляется троян netsvc.exe и майнер winlogonr.exe
 

Добрый день.

Win 2008 r2 сервер. Обновления установлены. Однажды. заметив большую загрузку CPU, просканировали ESET online.

Результат:
C:\Windows\debug\netsvc.exe Win32/TrojanDownloader.Agent.EZL троянская программа очищено удалением
C:\Windows\debug\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением
C:\Windows\Temp\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением

Но с некоторой периодичностью эти троян и майнер появляются снова в C:\Windows\debug\
Наблюдение с помощью Process Monitor от Sysinternals выявило, что файлы создаются системным процессом.

Запускали AVZ5 - он вообще не находит ничего подозрительного.

Как победить зловреда? Какой уязвимостью пользуется троян для проникновения в систему?

Файл отчета CollectionLog-2021.08.15-15.29.zip во вложении.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Файлы готовы.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
WMI:CIMV2\__TimerInstruction->__AStagingTimer::
WMI:CIMV2\__TimerInstruction->__IStagingTimer::
WMI:CIMV2\__AbsoluteTimerInstruction->__AStagingTimer::
WMI:CIMV2\__IntervalTimerInstruction->__IStagingTimer::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StagingFilter\"::
WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StartupFilter\"::
WMI:subscription\__EventFilter->__StartupFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 200 AND TargetInstance.SystemUpTime < 320]
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->__StagingFilter::[Query => SELECT * FROM __TimerEvent WHERE TimerID = '__IStagingTimer' OR TimerID = '__AStagingTimer']
WMI:subscription\ActiveScriptEventConsumer->__StagingConsumer::[ScriptText => function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r=""; (запись имеет ещё 907 символов).]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Четыре администратора - не многовато ли?

Выполнил, но возможно, не совсем правильно:
Нажал "Исправить" ДО сохранения файла fixlist.txt (поторопился), а код просто был в буфере обмена.

Созданный файл - Fixlog.txt

Компьютер не перезагружал. Затем сохранил fixlist.txt и нажал "Исправить" ещё раз.

Созданный файл назвал - Fixlog2.txt

Насчет администраторов -
admin - встроенный,
ora - для запуска экземпляров oracle database,
admin1cv8 - для автоматич. запуска обработок 1С
raid - для удобного доступа к ПО MegaRaid.

Эти учетки локальные, для бесперебойной работы служб в случае отсутствия доступа к контроллерам домена.

Файл fixlist не обязательно было создавать.
Понаблюдайте и сообщите что с проблемой.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Была найдена только одна уязвимость - UAC (контроль учётных записей) отключён.
Перезагружали сервер, зловредные файлы пока не появлялись, будем наблюдать.

Поделитесь пожалуйста, информацией, где находился источник заражения?
Ведь антивирусные сканеры кроме двух файлов в C:\Windows\debug\ ничего не находили.... Или это сетевой червь?

Большое спасибо за помощь!


Как можно помочь проекту?

Мы очистили следы в WMI. Это один из распространенных методов проникновения вредоносов в систему.
А вот как раз включенный UAC этому бы препятствовал.

Это не обязательно, но раз уж спросили:

Желающим поддержать проект.

Книга отзывов.