Program remoteadmin 753 что это
Вирусный обзор от специалистов Dr.web
В апреле произошло много событий, связанных с информационной безопасностью.
Главные вирусные тенденции апреля:
Угроза месяца.
Многофункциональный троянец, получивший наименование Trojan.MulDrop7.24844, распространялся в виде заархивированного вложения в сообщении электронной почты.
В архиве содержится упакованный контейнер, который создан с использованием возможностей языка Autoit. Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753. Кроме него троянец сохраняет на диск два других приложения, которые являются 32- и 64-разрядной версиями утилиты Mimikatz. Она предназначена для перехвата паролей открытых сессий в Windows. Trojan.MulDrop7.24844 активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, а также выполняет ряд других функций, определяемых заданным при его запуске параметром. Троянец открывает злоумышленникам удаленный доступ по протоколу RDP (Remote Desktop Protocol), вследствие чего те могут управлять инфицированным компьютером.
Подробнее об этой вредоносной программе рассказано в опубликованной на сайте компании «Доктор Веб» статье.
Другие события в сфере информационной безопасности.
В конце апреля было зафиксировано распространение вредоносной программы Trojan.DownLoader23.60762, предназначенной для хищения паролей из популярных браузеров и несанкционированного скачивания различных файлов. На зараженном компьютере троянец встраивается в процессы браузеров и перехватывает функции, отвечающие за работу с сетью. Он может выполнять следующие команды:
Подробнее об этой вредоносной программе рассказано в опубликованном на сайте компании «Доктор Веб» материале.
Более полная информация об этой уязвимости изложена в соответствующей обзорной статье.
Trojan.MulDrop7.24844
Добавлен в вирусную базу Dr.Web: 2017-04-12
Описание добавлено: 2017-04-13
Многокомпонентный троянец для ОС Windows. Распространяется в виде файла с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip в сообщениях электронной почты с темой «Оплату произвели» и следующим содержанием:
Внутри архива содержится приложение с расширением:
Исполняемый файл представляет собой зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске сохраняются следующие модули:
В момент старта сценарий проверяет, что он запущен в единственном экземпляре, в противном случае завершает свою работу. В операционной системе Microsoft Windows 8.1 при отсутствии у текущей учетной записи пользователя привилегий администратора троянец с помощью утилиты wusa.exe распаковывает из архива 32.cab или 64.cab (в зависимости от разрядности ОС) библиотеку cryptbase.dll в папку %windir%\system32\migwiz\ и запускает migwiz.exe, передав в качестве входного параметра путь до исполняемого файла троянца.
В других версиях Windows выполняет обход UAC с использованием eventvwr.exe.
Исполняемые файлы устанавливаются в папку %PROGRAMFILES%\XPS Rasterization Service Component. Троянец обеспечивает собственный автоматический запуск — в ОС Windows XP путем добавления в ключе системного реестра
параметра “XPS Rasterization Service Component». В более поздних версиях Windows автозапуск реализуется с использованием Планировщика задач:
Троянец запускает приложения xps.exe и xservice.exe, после чего пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
xps.exe
Утилита удаленного администрирования, детектируемая Dr.Web как Program.RemoteAdmin.753.
xservice.exe
Зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске извлекает и сохраняет файл 32_en.exe или 64_en.exe (в зависимости от разрядности системы). Эти программы являются 32- и 64-разрядными версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
После собственного запуска пытается также запустить Program.RemoteAdmin.753 из файла %PROGRAMFILES%\XPS Rasterization Service Component\xps.exe. Активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Удостоверяется в наличии утилиты для организации соединения, проверяя значение ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk] «Status». Если оно равно 1, повторная установка утилиты не выполняется.
Не пытается установить утилиту для организации соединения по протоколу RDP, если ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] «UseLogonCredentials» установлен в 0.
С использованием ранее сохраненной на диске утилиты Mimikatz соответствующей разрядности пытается получить пароль от учетной записи текущего пользователя. Полученный пароль кодируется с использованием алгоритма base64 и сохраняется в параметре «Pwd» ключа системного реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В качестве индикатора успешной установки сохраняет значение «1» в параметре «Status» ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В операционных системах Microsoft Windows 8.1 и Windows 10 считает, что получить пароль учетной записи пользователя не удалось, после чего запускает новый экземпляр интерпретатора команд CMD и выполняет команду net users *.
Добрый вечер, схватил Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961, (заявка № 226961)
Опции темы
Добрый вечер, схватил Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961,
Добрый вечер, схватил букет вирусов Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961, после восстановления системы из образа они появляются в течении 5-7 минут.Dr. Web Cureit их находит, перемещает в карантин. Но после перезагрузки перестаёт работать удалённый доступ, а соответствующая служба просто пропадает. Можно как удалить эту заразу, без потери службы удалённого доступа. Огромное спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Mr,Proxe, спасибо за обращение на наш форум!
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Скачайте и распакуйте утилиту AV block remove.
Загрузите систему в безопасном режиме!
Запустите AV block remove, следуйте инструкциям.
После перезагрузки файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Все проделал согласно инструкций, логи во вложении. Диспетчер вроде перестал закрываться, мониторю работу системы.
Неа, опять он появился, опять диспетчер закрывается каждые 3 минуты.Все вернулось
На момент сбора логов FRST всё хорошо было, AV_block_remove отработал штатно.
Выделите и скопируйте в буфер обмена следующий код:
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
У вас там Mikrotik с древней прошивкой, веб-интерфейсом и WinBox наружу и кучей уязвимостей, похоже взломан и в сети хохяйничают плохие парни.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
В какой буфер обмена? винды? Просто сделать cntrl-c?
Прошивку на mikrotik-e обновил до последней, команды выполнил в frst.exe, лог прилагаю.Вложение 685348Fixlog.txt
Ну и, не удивлён, что на сервере отсуствует самое важное критическое обновление, про MS17-010 и шифровальщики WannaCry и Petya/NotPetya Вы тоже не слышали, погуглите на досуге.
Накопительное обновление безопасности для браузера Internet Explorer
http://download.windowsupdate.com/c/. 37c634b764.msu
Уязвимость в ядре Windows может допустить повышение уровня полномочий
https://www.microsoft.com/downloads/. 5-3fd5be147cf4
Обновление для системы безопасности Microsoft Office Word 2007
https://www.microsoft.com/downloads/. 8-6ccfdfa399c5
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
https://www.microsoft.com/downloads/. 0-4b18081bd536
Про вирус слышал, но всегда сервер был закрыт и для интернета и для людей в виде рдп и прочего, а потом в авральном режиме, команда сделать все, ну короче человеческий фактор.На микротике пароли сменил, более основательно завтра буду перенастраивать, исправлять, однозначно, спасибо за открытие глаз. Лог приложил.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке «Прислать запрошенный карантин» над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Меняйте и адимнские пароли в системе, на компьютерах пройдитесь KVRT или Dr. Web CureIt! для порядка. В общем, нужен полный аудит безопасности.
Спасибо вам огромнейшие, ситуация оказался просто как мир. И приславутый человеческий фактор. Несколько недель назад в сервер был вставлен флеш накопитель, без каких либо проверок. На нем то и был я так понимаю вирус, после чего cureit он был удалён и всё работало, до первой перезагрузки. И тут началось, слетел удалённый рабочий стол и так далее. А про флешку я и забыл во все. А ваш скрипт, который в безопасном режиме я запуска, удалил вирус чётко. Но потом загружаясь обратно, забыв про флешку, система снова с неё заражалась. Сегодня утром меня прям озарило, когда я увидел эту грёбанную флешку. Выдернул её, зашёл в безопасно режиме, с помощью вашей утилиты всё удали. Пока работает, уже полчаса, полёт отличный. Спасибо вам огромнейшие, я конечно дальше буду мониторить, но пока не вируса, не закрывающегося диспетчера не наблюдается. Ещё раз спасибо. Позже отпишусь, если ещё что-нибудь проявиться
Пароли сменил, остальные машины на проверке, но вроде пока чисто. На сервер все повторилось через 3 часа.
Карантин загрузил, Все сделал согласно инструкции.
Events
https://cloud.mail.ru/public/v3cH/trQVyw7Rv
Опять вирус вернулся. Все проделал согласно инструкции.
Снова пролечите систему с помощью AV block remove.
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ТЕСТ
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
То же с именами пользователей RECEPTION, ПОЛЬЗОВАТЕЛЬ1, HOSPITAL, и т. д. и т. п.
Это происходило сегодня. Закрывайте в Mikrotik всё, что можно, снаружи.
Добрый вечер, с портами разобрался, rdp прикрыл. Dr.web запустил. Пароли поменял. Но вот перегрузившись в безопасный режим и Снова пролечив систему с помощью AV block remove, после перезагрузки, вирус вернулся. Я конечно же опять использовал тот последний скрипт для uVs, и вроде он удалился. Мне кажется не связано ли это с тем, что в безопасном режиме я захожу под локальным админом, так как загружаю безопасный режим без сети. Или какая то другая причина? Зачистка полная же проходит под доменной учёткой, а в локальные папки он не попадает, так что ли?
После скрипта UVS нужна перезагрузка. С правами админа всё равно под кем лечить, разницы нет.
И после первого прогона AV block remove было видно по логам FRST, что майнер был зачищен полностью, но потом вернулся снова. Значит, либо по сети распространяется, либо снаружи не всё законопатили. Управление через web и winbox открыто, MikroTik bandwidth-test server висит на порту 2000, 53-й порт открыт и 1723.
Сделайте в winbox экспорт конфига без ключей и паролей командой
Затем по ПКМ Copy All и результат напишите в личку (оформите с тэгом CODE #. Посмотрю, что там наворочено в Mikrotik.
Добрый день, в итоге был найден реальный очаг заразы, это оказался, всеми забытый тестовый почтовик, без доменов и прочего. Мы думали, что он вообще выключенный, но зараза походу залезла и на него, он был без паролей вообще, а потом от туда перекидывалась на вылеченый комп периодически. Сейчас сделали полный круг по всем компа, после лечения этого и всех зараженных. Вроде второй день работы, нигде ничего не проявляется. Спасибо ещё раз, за помощь. В ближайшее время займусь микротик, есть много не нужного, что подключаю на нем.
Доктор Веб предупреждает о вредоносной рассылке
Специалисты компании «Доктор Веб» зафиксировали рассылку спама с целым набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию.
Массовая рассылка вредоносных вложений по электронной почте — один из самых популярных методов распространения троянцев. Злоумышленники стараются составить текст сообщения таким образом, чтобы получатель самостоятельно открыл приложенный к письму файл, что приведет к заражению компьютера.
В течение последних нескольких дней по электронной почте активно распространяются сообщения с темой «Оплату произвели» от имени некоей компании ООО «Глобальные Системы». Письма содержат следующий текст (оригинальные синтаксис и орфография сохранены):
Добрый день!
Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили.
Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают.
Копию платежки и других документов высылаем в прикрепленном архиве.
Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка.
С уважением,
ООО «Глобальные Системы»
Приложение представляет собой упакованный контейнер, который создан с использованием возможностей языка Autoit. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя (UAC, User Account Control) в 32- и 64-разрядных версиях Windows и несколько других файлов. Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке: в Windows XP — путем модификации системного реестра, в более современных версиях Windows — при помощи Планировщика задач. Также троянец пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox, пишет news.drweb.ru.
Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753.
Другой компонент троянца также представляет собой зашифрованный Autoit-контейнер с именем xservice.bin, извлекающий на диск два исполняемых файла. Эти программы являются 32- и 64-разрядной версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Trojan.MulDrop7.24844
Добавлен в вирусную базу Dr.Web: 2017-04-12
Описание добавлено: 2017-04-13
Многокомпонентный троянец для ОС Windows. Распространяется в виде файла с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip в сообщениях электронной почты с темой «Оплату произвели» и следующим содержанием:
Внутри архива содержится приложение с расширением:
Исполняемый файл представляет собой зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске сохраняются следующие модули:
В момент старта сценарий проверяет, что он запущен в единственном экземпляре, в противном случае завершает свою работу. В операционной системе Microsoft Windows 8.1 при отсутствии у текущей учетной записи пользователя привилегий администратора троянец с помощью утилиты wusa.exe распаковывает из архива 32.cab или 64.cab (в зависимости от разрядности ОС) библиотеку cryptbase.dll в папку %windir%\system32\migwiz\ и запускает migwiz.exe, передав в качестве входного параметра путь до исполняемого файла троянца.
В других версиях Windows выполняет обход UAC с использованием eventvwr.exe.
Исполняемые файлы устанавливаются в папку %PROGRAMFILES%\XPS Rasterization Service Component. Троянец обеспечивает собственный автоматический запуск — в ОС Windows XP путем добавления в ключе системного реестра
параметра “XPS Rasterization Service Component». В более поздних версиях Windows автозапуск реализуется с использованием Планировщика задач:
Троянец запускает приложения xps.exe и xservice.exe, после чего пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
xps.exe
Утилита удаленного администрирования, детектируемая Dr.Web как Program.RemoteAdmin.753.
xservice.exe
Зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске извлекает и сохраняет файл 32_en.exe или 64_en.exe (в зависимости от разрядности системы). Эти программы являются 32- и 64-разрядными версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
После собственного запуска пытается также запустить Program.RemoteAdmin.753 из файла %PROGRAMFILES%\XPS Rasterization Service Component\xps.exe. Активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Удостоверяется в наличии утилиты для организации соединения, проверяя значение ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk] «Status». Если оно равно 1, повторная установка утилиты не выполняется.
Не пытается установить утилиту для организации соединения по протоколу RDP, если ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] «UseLogonCredentials» установлен в 0.
С использованием ранее сохраненной на диске утилиты Mimikatz соответствующей разрядности пытается получить пароль от учетной записи текущего пользователя. Полученный пароль кодируется с использованием алгоритма base64 и сохраняется в параметре «Pwd» ключа системного реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В качестве индикатора успешной установки сохраняет значение «1» в параметре «Status» ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В операционных системах Microsoft Windows 8.1 и Windows 10 считает, что получить пароль учетной записи пользователя не удалось, после чего запускает новый экземпляр интерпретатора команд CMD и выполняет команду net users *.