![](https://habrastorage.org/getpro/habr/upload_files/7d4/6dd/1da/7d46dd1da36197aaa225d541ecd1fbc0.jpeg)
Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.
Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.
В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.
Интересно? Давайте разбираться вместе.
Впервые это вредоносное программное обеспечение было замечено в мае. Цепочка заражения начинается после того, как пользователь запускает вредоносный файл с именем TiWorker.exe
. Этот файл маскируется под легитимный системный процесс, отвечающий за установку модулей Windows и обновлений операционной системы. Вредоносный процесс TiWorker
запускает PowerShell
и скачивает с С2‑сервера модули для дальнейших стадий атаки, одним из которых является kill.png.
Примечательно, что для затруднения анализа применяются как типичные подходы в виде кодирования Base64 и сжатия, так и более экзотические — распаковка и выполнение вредоносного кода сразу в виртуальной памяти процесса PowerShell
. Так, модуль kill.png представляет собой обфусцированный PowerShell-скрипт
, который после декодирования обращается к WinAPI-функции VirtualAlloc
для выделения памяти, копирует туда шеллкод и запускает его. Все это происходит без сохранения файлов на диск.
![](https://habrastorage.org/getpro/habr/upload_files/fbe/06b/48a/fbe06b48ade8ab7243b9c1f713026ac1.png)
Сам шеллкод имеет несколько стадий работы.
Во-первых, это получение адресов API‑функций по хеш-значениям, необходимых для работы шеллкода, которые указаны во внутренней структуре данных по адресу 169F26F00005
.
![](https://habrastorage.org/getpro/habr/upload_files/c9a/730/e1a/c9a730e1ab460333a7991a8cae94dee0.png)
![](https://habrastorage.org/getpro/habr/upload_files/362/f4c/0a4/362f4c0a48e53c20e083c734eaf79207.png)
Во-вторых, патчинг функций встроенных механизмов безопасности, чтобы они не могли обнаружить угрозу. Модификация затрагивает Antimalware Scan Interface (AMSI) и Windows Lockdown Policy (WLDP). AMSI выявляет вредоносное программное обеспечение по сигнатурам, а WLDP проверяет цифровую подпись динамического кода для блокировки потенциально нежелательного программного обеспечения, запускаемого из памяти. Всего модифицируется четыре функции:
-
AMSI!AmsiScanString — сканирует переданную строку.
-
AMSI!AmsiScanBuffer — сканирует переданный буфер.
-
WLDP!WldpIsClassInApprovedList — проверяет, разрешен ли вызов COM-объекта, по идентификатору класса.
-
WLDP!WldpQueryDynamicCodeTrust — проверяет, разрешен ли код для выполнения, согласно заданной политике Device Guard.
![](https://habrastorage.org/getpro/habr/upload_files/262/129/d99/262129d99bc3c98d21fc5b9a215ac194.png)
![](https://habrastorage.org/getpro/habr/upload_files/019/789/f61/019789f61d4550f93f22de931ffa521f.png)
![](https://habrastorage.org/getpro/habr/upload_files/8d5/e01/2de/8d5e012de68e8e7ac6ac629cc802e788.png)
![](https://habrastorage.org/getpro/habr/upload_files/bc5/065/ba7/bc5065ba7f1693df88e3d303b648bd68.png)
![](https://habrastorage.org/getpro/habr/upload_files/fba/33d/7dd/fba33d7dd6c705d3daa805f455296361.png)
В-третьих, расшифрование встроенной DLL-библиотеки, формирование таблицы импорта и маппинг ее в памяти вручную. Такой подход называется Reflective DLL Injection. В этой расшифрованной библиотеке и содержится интересующий нас список названий средств защиты, которые принудительно завершаются ВПО.
![](https://habrastorage.org/getpro/habr/upload_files/a36/e3a/faf/a36e3afaf908b55ece3f3950d949a736.png)
Такая возможность возникает из-за применения техники BYOVD и скачивания на предыдущих этапах двух уязвимых драйверов — aswArPots.sys и IObitUnlockers.sys. Уязвимости в этих драйверах относятся к классу Можно выделить следующие отличия от кода в паблике: удалены выводы отладочных строк; функции для работы с ETW не модифицируются; структура Теперь рассмотрим, как ВПО обнаруживается MaxPatrol EDR. Благодаря гибкой настройке и постоянному обновлению индикаторов компрометации модуль проверки файлов по хеш‑значениям ( Далее происходит автореагирование: вредоносный файл удаляется. Для дальнейшей демонстрации я намеренно отступлю от best practices в настройке политики обнаружения и реагирования: выключу удаление файлов и завершение подозрительных процессов. Как и ранее, происходит детект по хеш-сумме файла. Далее видим закрепление в системе путем создания запланированной задачи defaultbrowserupdate. Отмечаем обращение к С2-серверу для скачивания модулей. Можно вручную отреагировать на это событие и, например, изолировать устройство. Кроме того, в параметрах политики безопасности можно добавить адрес в модуль «Блокировка по IP-адресу». В результате, если под атаку попадут другие компьютеры, система защиты будет проактивно блокировать подключение к этому адресу. Вернемся к вредоносу. Происходят манипуляции с реестром для отключения Windows Defender. ВПО очищает системные журналы событий для сокрытия следов. Из нестандартной папки (С:\Windows\Fonts) запускается утилита curl.exe, затем скачивается и запускается исполняемый файл (smartscreen.exe), который запускается оттуда же. Устанавливаются уязвимые драйверы. Выполняется модуль kill.png с доступом к WinAPI-функциям, в частности к выделению памяти для шеллкода. Я подсветил только самые интересные моменты. На самом деле индикаторов, по которым можно обнаружить вредоносную активность, намного больше. Хакеры непрерывно ищут уязвимости и способы обойти системы безопасности. Специалисты по ИБ, в свою очередь, постоянно разрабатывают новые методы и стратегии, чтобы защитить информацию. Такой инструмент, как EDR-система, помогает обнаруживать угрозы, реагировать на них, исследовать инциденты и управлять уязвимостями. avcenter.exe avguard.exe avgnt.exe sched.exe ashdisp.exe rtvscan.exe ccapp.exe npfmntor.exe ccsetmgr.exe ccregvfy.exe ksafe.exe qqpcrtp.exe avgwdsvc.exe quhlpsvc.exe mssecess.exe savprogress.exe sophosui.exe sophosfs.exe sophoshealth.exe sophossafestore64.exe sophoscleanm.exe fsavgui.exe vsserv.exe remupd.exe fortitray.exe safedog.exe parmor.exe iparmor.exe beikesan.exe kswebshield.exe trojanhunter.exe gg.exe adam.exe ast.exe ananwidget.exe avk.exe avg.exe spidernt.exe avgaurd.exe vsmon.exe cpf.exe outpost.exe rfwmain.exe kpfwtray.exe fyfirewall.exe mpmon.exe pfw.exe baidusdsvc.exe baidusdtray.exe baidusd.exe safedogguardcenter.exe safedogupdatecenter.exe safedogsiteiis.exe safedogtray.exe safedogserverui.exe d_safe_manage.exe d_manage.exe yunsuo_agent_service.exe yunsuo_agent_daemon.exe hwspanel.exe hws_ui.exe hws.exe hwsd.exe hipstray.exe hipsdaemon.exe wsctrl.exe usysdiag.exe sphinx.exe bddownloader.exe baiduansvx.exe avastui.exe emet_agent.exe emet_service.exe firesvc.exe firetray.exe hipsvc.exe mfevtps.exe mcafeefire.exe scan32.exe shstat.exe vstskmgr.exe engineserver.exe mfeann.exe mcscript.exe updaterui.exe udaterui.exe naprdmgr.exe cleanup.exe cmdagent.exe frminst.exe mcscript_inuse.exe mctray.exe _avp32.exe _avpcc.exe _avpm.exe aavgapi.exe ackwin32.exe alertsvc.exe alogserv.exe anti-trojan.exe arr.exe atguard.exe atupdater.exe atwatch.exe au.exe aupdate.exe auto-protect.nav80try.exe autodown.exe avconsol.exe avgcc32.exe avgctrl.exe avgemc.exe avgrsx.exe avgserv.exe avgserv9.exe avgw.exe avkpop.exe avkserv.exe avkservice.exe avkwctl9.exe avltmain.exe avnt.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avptc32.exe avpupd.exe avsynmgr.exe avwin.exe bargains.exe beagle.exe blackd.exe blackice.exe blink.exe blss.exe bootwarn.exe bpc.exe brasil.exe ccevtmgr.exe cdp.exe cfd.exe cfgwiz.exe claw95.exe claw95cf.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cpd.exe ctrl.exe cv.exe defalert.exe defscangui.exe defwatch.exe doors.exe dpf.exe dpps2.exe dssagent.exe ecengine.exe emsw.exe ent.exe espwatch.exe ethereal.exe avxw.exe expert.exe f-prot95.exe fameh32.exe fast.exe fch32.exe fih32.exe findviru.exe firewall.exe fnrb32.exe fp-win.exe fsaa.exe fsav.exe fsav32.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe fsgk32.exe fsm32.exe fsma32.exe fsmb32.exe gbmenu.exe guard.exe guarddog.exe htlog.exe htpatch.exe hwpe.exe iamapp.exe iamserv.exe iamstats.exe iedriver.exe iface.exe infus.exe infwin.exe intdel.exe intren.exe jammer.exe kavpf.exe kazza.exe keenvalue.exe launcher.exe ldpro.exe ldscan.exe localnet.exe luall.exe luau.exe lucomserver.exe mcagent.exe mcmnhdlr.exe mctool.exe mcupdate.exe mcvsrte.exe mcvsshld.exe mfin32.exe mfw2en.exe mfweng3.02d30.exe mgavrtcl.exe mgavrte.exe mghtml.exe mgui.exe minilog.exe mmod.exe mostat.exe mpfagent.exe mpfservice.exe mpftray.exe mscache.exe mscman.exe msmgt.exe msvxd.exe mwatch.exe nav.exe navapsvc.exe navapw32.exe navw32.exe ndd32.exe neowatchlog.exe netutils.exe nisserv.exe nisum.exe nmain.exe nod32.exe norton_internet_secu_3.0_407.exe notstart.exe nprotect.exe npscheck.exe npssvc.exe ntrtscan.exe nui.exe otfix.exe outpostinstall.exe patch.exe pavw.exe pcscan.exe pdsetup.exe persfw.exe pgmonitr.exe pingscan.exe platin.exe pop3trap.exe poproxy.exe popscan.exe powerscan.exe ppinupdt.exe pptbc.exe ppvstop.exe prizesurfer.exe prmt.exe prmvr.exe processmonitor.exe proport.exe protectx.exe pspf.exe purge.exe qconsole.exe qserver.exe rapapp.exe rb32.exe rcsync.exe realmon.exe rescue.exe rescue32.exe rshell.exe rtvscn95.exe rulaunch.exe run32dll.exe safeweb.exe sbserv.exe scrscan.exe sh.exe showbehind.exe soap.exe sofi.exe sperm.exe supporter5.exe symproxysvc.exe symtray.exe tbscan.exe tc.exe titanin.exe tvmd.exe tvtmd.exe vettray.exe vir-help.exe vnpc3000.exe vpc32.exe vpc42.exe vshwin32.exe vsmain.exe vsstat.exe wfindv32.exe zapro.exe zonealarm.exe a2cmd.exe a2service.exe a2free.exe advchk.exe agb.exe ahprocmonserver.exe airdefense.exe avira.exe amon.exe avz.exe antivir.exe apvxdwin.exe ashmaisv.exe ashserv.exe ashsimpl.exe ashwebsv.exe aswupdsv.exe aswscan.exe avciman.exe avengine.exe avesvc.exe avevl32.exe avgam.exe avgcc.exe avgchsvx.exe avgcsrvx.exe avgnsx.exe avgfwsrv.exe avgntmgr.exe avgtray.exe avgupsvc.exe avinitnt.exe avserver.exe avsched32.exe avwupsrv.exe bdswitch.exe cfp.exe clamwin.exe cureit.exe drwadins.exe drweb.exe defenderdaemon.exe ewidoctrl.exe ezantivirusregistrationcheck.exe fprottray.exe fpwin.exe freshclam.exe fsbwsys.exe fsdfwd.exe fsgk32st.exe fssm32.exe guardgui.exe guardnt.exe inocit.exe inorpc.exe inort.exe inotask.exe inouptng.exe isafe.exe kav.exe kavmm.exe kavpfw.exe kavstart.exe kavsvc.exe kavsvcui.exe kmailmon.exe mcregwiz.exe myagtsvc.exe myagttry.exe navlu32.exe neowatchtray.exe npfmsg.exe nsmdtr.exe ofcpfwsvc.exe onlinent.exe op_mon.exe pavfires.exe pavfnsvr.exe pavkre.exe pavprot.exe pavproxy.exe pavprsrv.exe pavsrv51.exe pavss.exe pccguide.exe pcciomon.exe pccntmon.exe pccpfw.exe pcctlcom.exe pctav.exe pervac.exe pestpatrol.exe prevsrv.exe savadminservice.exe savmain.exe savscan.exe sdhelp.exe spbbcsvc.exe spidercpl.exe spiderml.exe spiderui.exe spybotsd.exe swagent.exe swdoctor.exe swnetsup.exe symlcsvc.exe symsport.exe symwsc.exe synmgr.exe tmlisten.exe tmntsrv.exe tmproxy.exe tnbutil.exe vba32ecm.exe vba32ifs.exe vba32pp3.exe vcrmon.exe vrmonnt.exe vrmonsvc.exe xcommsvr.exe 360rp.exe afwserv.exe safeboxtray.exe 360safebox.exe qqpctray.exe ksafetray.exe ksafesvc.exe kwatch.exe gov_defence_service.exe gov_defence_daemon.exe smartscreen.exe macompatsvc.exe mcamnsvc.exe masvc.exe mfemms.exe mctary.exe mfewc.exe mfewch.exe mfefw.exe mfefire.exe mfetp.exe mfecanary.exe mfeconsole.exe mfeesp.exe fcag.exe fcags.exe fcagswd.exe fcagate.exe 360entclient.exe qaxentclient.exe qaxtray.exe edr_sec_plan.exe edr_monitor.exe edr_agent.exe escccontrol.exe escc.exe esav.exe esccindex.exe aliyundun.exe wdswfsafe.exe topsecmain.exe topsectray.exe ydlive.exe ydservice.exe titanagent.exe titanmonitor.exe gse_win_daemon.exe gse_win_agent.exe qhactivedefense.exe qhwatchdog.exe qhsafetray.exe qhsafemain.exe jingyunmonsvr.exe jingyunsdmainsvr.exe jingyunsdsvr.exe jingyunsdtray.exe aawtray.exe ad-aware.exe msascui.exe adaware.exe advxdwin.exe agentsvr.exe agentw.exe alevir.exe amon9x.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe atcon.exe atro55en.exe autotrace.exe autoupdate.exe ave32.exe avwin95.exe avwinnt.exe avwupd.exe avwupd32.exe avxmonitor9x.exe avxmonitornt.exe avxquar.exe backweb.exe bd_professional.exe belt.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe bootconf.exe borg2.exe bs120.exe bundle.exe bvt.exe ccpxysvc.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe click.exe cmesys.exe cmgrdian.exe cmon016.exe connectionmonitor.exe cpf9x206.exe cpfnt206.exe cwnb181.exe cwntdwmo.exe datemanager.exe dcomx.exe deputy.exe divx.exe dllcache.exe dllreg.exe dpfsetup.exe drwatson.exe drweb32.exe drwebupw.exe dvp95.exe dvp95_0.exe efpeadm.exe esafe.exe escanhnt.exe escanv95.exe etrustcipe.exe evpn.exe exantivirus-cnet.exe explore.exe f-agnt95.exe f-stopw.exe fp-win_trial.exe fprot.exe frw.exe gator.exe gbpoll.exe generics.exe gmt.exe hacktracersetup.exe hbinst.exe hbsrv.exe hotactio.exe hotpatch.exe hxdl.exe hxiul.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe iedll.exe ifw2000.exe inetlnfo.exe init.exe iomon98.exe istsvc.exe jdbgmrg.exe jedi.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe kernel32.exe killprocesssetup161.exe ldnetmon.exe ldpromenu.exe lnetinfo.exe loader.exe lockdown.exe lockdown2000.exe lookout.exe lordpe.exe lsetup.exe luinit.exe luspt.exe mapisvc32.exe md.exe monitor.exe moolive.exe mrflux.exe msapp.exe msbb.exe msblast.exe msccn32.exe msdm.exe msdos.exe msiexec16.exe mslaugh.exe msmsgri32.exe mssmmc32.exe mssys.exe mu0311ad.exe n32scanw.exe navap.navapsvc.exe navdx.exe navnt.exe navstub.exe navwnt.exe nc2000.exe ncinst4.exe neomonitor.exe netarmor.exe netd32.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe normist.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nsched32.exe nssys32.exe nstask32.exe nsupdate.exe nt.exe ntvdm.exe ntxconfig.exe nupgrade.exe nvarch16.exe nvc95.exe nvsvc32.exe nwinst4.exe nwservice.exe nwtool16.exe ollydbg.exe onsrvr.exe optimize.exe ostronet.exe outpostproinstall.exe padmin.exe panixk.exe pavcl.exe pavsched.exe pccwin98.exe pcfwallicon.exe pcip10117_0.exe periscope.exe perswf.exe pf2.exe pfwadmin.exe portdetective.exe portmonitor.exe procdump.exe procexplorerv1.0.exe programauditor.exe rav7.exe rav7win.exe rav8win32eng.exe ray.exe reged.exe rrguard.exe rundll.exe rundll16.exe ruxdll32.exe sahagent.exescan32.exe save.exe savenow.exe scam32.exe scan95.exe scanpm.exe serv95.exe setup_flowprotector_us.exe setupvameeval.exe sgssfw32.exe shellspyinstall.exe shn.exe smc.exe sms.exe smss32.exe spf.exe spoler.exe spoolcv.exe spoolsv32.exe spyxx.exe srexe.exe srng.exe ss3edit.exe ssg_4104.exe ssgrate.exe st2.exe start.exe stcloader.exe supftrl.exe support.exe svchostc.exe svchosts.exe sweep95.exe sweepnet.sweepsrv.sys.swnetsup.exe sysedit.exe sysupd.exe taskmg.exe taskmo.exe taumon.exe tca.exe tcm.exe tds-3.exe tds2-98.exe tds2-nt.exe teekids.exe tfak.exe tfak5.exe tgbob.exe titaninxp.exe trickler.exe trjscan.exe trjsetup.exe trojantrap3.exe tsadbot.exe undoboot.exe updat.exe update.exe upgrad.exe utpost.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vet32.exe vet95.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vpfw30s.exe vptray.exe vscan40.exe vscenu6.02d30.exe vsched.exe vsecomr.exe vsisetup.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webdav.exe webscanx.exe webtrap.exe whoswatchingme.exe wimmun32.exe win-bugsfix.exe win32.exe win32us.exe winactive.exe window.exe windows.exe wininetd.exe wininitx.exe winlogin.exe winmain.exe winnet.exe winppr32.exe winrecon.exe winservn.exe winssk32.exe winstart.exe winstart001.exe wintsk32.exe winupdate.exe wkufind.exe wnad.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wupdater.exe wupdt.exe wyvernworksfirewall.exe xpf202en.exe zapsetup3001.exe zatutor.exe zonalm2601.exe akrnl.exe trojan.exe armor2net.exe ash.exe ashenhcd.exe ashpopwz.exe ashskpck.exe aveval.exe avkwctl.exe avxmonitor.exe cafix.exe bitdefender.exe cfpconfig.exe clamtray.exe drvirus.exe dwebllio.exe dwebio.exe escanh95.exe filemon.exe forticlient.exe fortiscan.exe fpavserver.exe f-sched.exe fsguiexe.exe fspex.exe gcasdtserv.exe gcasserv.exe giantantispyware.exe guardxservice.exe guardxkickoff.exe hregmon.exe hrres.exe hsockpe.exe hupdate.exe icssuppnt.exe inetupd.exe isatray.exe mamutu.exe npavtray.exe nssserv.exe nsstray.exe ntos.exe nvcod.exe nvcte.exe nvcut.exe opssvc.exe pertsk.exe pnmsrv.exe prevx.exe psimsvc.exe qhonline.exe qhonsvc.exe qhwscsvc.exe qhset.exe sality.exe sapissvc.exe scanwscs.exe scanningprocess.exe sdra64.exe sitecli.exe stopsignav.exe vba32ldr.exe vbsntw.exe vrfwsvc.exe vrrw32.exe winssnotify.exe zlclient.exe patray.exe v3svc.exe 360skylarsvc.exe nissrv.exe mssense.exe msseces.exe mpcmdrun.exe miner.exe ayagent.exe iparmor.exe.exe s.exe 1433.exe dub.exe servudaemon.exe senseir.exe sensendr.exe sensecncproxy.exe sensesampleuploader.exe elastic-agent.exe elastic-endpoint.exe filebeat.exe xagt.exe qualysagent.exe sentinelagent.exe sentinelagentworker.exe sentinelservicehost.exe sentinelstaticengine.exe logprocessorservice.exe sentinelstaticenginescanner.exe sentinelhelperservice.exe sentinelbrowsernativehost.exe cylancesvc.exe amsvc.exe cramtray.exe crssvc.exe executionpreventionsvc.exe cybereasonav.exe cb.exe repmgr.exe reputils.exe repux.exe repwav.exe repwsc.exe taniumclient.exe taniumcx.exe taniumdetectengine.exe traps.exe cyserver.exe cyveraservice.exe cyvrfsflt.exe fortiedr.exe sfc.exe winlogbeat.exe eiconnector.exe hurukai.exe cetasvc.exe wscommunicator.exe endpointbasecamp.exe tmwscsvc.exe cntaosmgr.exe tmccsf.exe eshasrv.exe kxescore.exe kupdata.exe kwsprotect64.exe hipslog.exe hipsmain.exe securityhealthservice.exe smcgui.exe snac.exe clamscan.exe qqpcnetflow.exe qqpcrealtimespeedup.exe liveupdate360.exe mbamservice.exe mbam.exe mbamtray.exe gdscan.exe avkproxy.exe avkbackupservice.exe notifier.exe aliyundunupdate.exe aliyun_assist_service.exe baradagent.exe sgagent.exe ydedr.exe 360websafe.exe qhsrv.exe qhwebshellguard.exe safedogsiteapache.exe cloudhelper.exe hwshostpanel.exe hwshostmaster.exe psdefender.exe ossec-agent.exe fsulprothoster.exe fsorsp64.exe fshoster64.exe fshoster32.exe fsdevcon.exe aowinagt.exe directorymonitor.exe nxlog.exe snarecore.exe splunk-winevtlog.exe splunkd.exe tanium.exe 360leakfixer.exe acaas.exe acaegmgr.exe acais.exe aclntusr.exe alert.exe almon.exe alunotify.exe alupdate.exe alsvc.exe avgidsagent.exe avgidsmonitor.exe avgidsui.exe avgidswatcher.exe avktray.exe avpdtagt.exe acctmgr.exe ad-aware2007.exe addressexport.exe adminserver.exe administrator.exe aexagentuihost.exe aexnsagent.exe aexnsrcvsvc.exe aluschedulersvc.exe anvir.exe appsvc32.exe atrshost.exe auth8021x.exe avtask.exe bwmeterconsvc.exe caantispyware.exe calogdump.exe cappactiveprotection.exe ccap.exe ccenter.exe cclaw.exe clps.exe clpsla.exe clpsls.exe cpntsrv.exe ctdataload.exe certificationmanagerservicent.exe clshield.exe console.exe cylanceui.exe dao_log.exe dlservice.exe dltray.exe drwagntd.exe drwagnui.exe drweb32w.exe drwebscd.exe drwinst.exe dsmain.exe dwhwizrd.exe dolphincharge.exe ehttpsrv.exe emlproui.exe emlproxy.exe emlibupdateagentnt.exe etconsole3.exe etcorrel.exe etloganalyzer.exe etreporter.exe etrssfeeds.exe euqmonitor.exe endpointsecurity.exe entitymain.exe etscheduler.exe etwcontrolpanel.exe eventparser.exe fcdblog.exe fscuif.exe fshdll32.exe fwcfg.exe firewallgui.exe forcefield.exe fortiproxy.exe fortiwf.exe freeproxy.exe gdfirewalltray.exe gdfwsvc.exe hwapi.exe isntsysmonitor.exe issvc.exe iswmgr.exe itmrtsvc.exe itmrt_supportdiagnostics.exe itmrt_trace.exe icepack.exe idsinst.exe inonmsrv.exe inoweb.exe isntsmtp.exe kabackreport.exe kanmcmain.exe klnagent.exe knupdatemain.exe kpfwsvc.exe kvmonxp_2.exe kvsrvxp.exe kwsprod.exe kavadapterexe.exe keypass.exe kvxp.exe lwdmserver.exe lockapp.exe loggetor.exe mcui32.exe managementagentnt.exe mcafeedatabackup.exe mcepoc.exe mcepocfg.exe mcnasvc.exe mcproxy.exe mcwce.exe mcwcecfg.exe mgntsvc.exe mpfsrv.exe nailgpip.exe ncdaemon.exe nip.exe njeeves.exe nlclient.exe nmagent.exe nod32view.exe nrmenctb.exe nvcoas.exe nvcsched.exe navshcom.exe navectrl.exe navelog.exe navesp.exe npfmsg2.exe npfsvice.exe nsctop.exe nymse.exe olfsnt40.exe omslogmanager.exe onlnsvc.exe pasystemtray.exe ppclean.exe ppctlpriv.exe pqibrowser.exe pshost.exe pxemtftp.exe padfsvr.exe pagent.exe pagentwd.exe pavbckpt.exe pavreport.exe pcscnsrv.exe pccntupd.exe ppppwallrun.exe printdevice.exe proutil.exe psctrls.exe pwdfilthelp.exe qoeloader.exe ravxp.exe rnreport.exe rpcserv.exe rssensor.exe rav.exe ravalert.exe ravmon.exe ravservice.exe ravstub.exe ravtask.exe ravtray.exe ravupdate.exe redirsvc.exe regmech.exe reportersvc.exe routernt.exe safeservice.exe saservice.exe savfmsesp.exe scanmsg.exe scfmanager.exe scfservice.exe scftray.exe sdtrayapp.exe sevinst.exe smex_activeupdate.exe smex_master.exe smex_remoteconf.exe smex_systemwatch.exe smsectrl.exe smselog.exe smsesjm.exe smsesp.exe smsesrv.exe smsetask.exe smseui.exe sndmon.exe sndsrvc.exe ssm.exe ssscheduler.exe svcharge.exe svdealer.exe svframe.exe svtray.exe savroam.exe savui.exe scanmailoutlook.exe seanalyzertool.exe semsvc.exe sesclu.exe setupguimngr.exe siteadv.exe snhwsrv.exe snicheckadm.exe snicon.exe snsrv.exe snichecksrv.exe spideragent.exe spntsvc.exe spyemergency.exe spyemergencysrv.exe stopp.exe stwatchdog.exe symcorpui.exe tfgui.exe tfservice.exe tftray.exe tfun.exe tiaspn~1.exe tsansrf.exe tsatisy.exe tscutynt.exe tsmpnt.exe tmpfw.exe traflnsp.exe traptrackermgr.exe upschd.exe ucservice.exe umxagent.exe umxcfg.exe umxfwhlp.exe umxpol.exe up2date.exe urllstck.exe useractivity.exe useranalysis.exe usrprmpt.exe v3medic.exe vpdn_lu.exe webproxy.exe wfxctl32.exe wfxmod32.exe wfxsnt40.exe winroute.exe wrspysetup.exe zlh.exe zanda.exe acaif.exe aclient.exe aexsvc.exe aexswdusr.exe aflogvw.exe ahnrpt.exe ahnsd.exe ahnsdsv.exe amswmagt.exe antiarp.exe aphost.exe aps.exe ashavast.exe ashbug.exe ashchest.exe ashcmd.exe ashlogv.exe ashquick.exe ashsimp2.exe ashskpcc.exe ashupd.exe asupport.exe aswdisp.exe aswregsvr.exe aswserv.exe aswwebsv.exe atwsctsk.exe aupdrun.exe aus.exe autoup.exe avadmin.exe avconfig.exe avfwsvc.exe avgamsvr.exe avgas.exe avgdiag.exe avgfws8.exe avgfws9.exe avginet.exe avgmsvr.exe avgregcl.exe avgrssvc.exe avgscanx.exe avgsystx.exe avgui.exe avgupd.exe avgupdln.exe avgvv.exe avgwb.exe avgwizfw.exe avmailc.exe avmcdlg.exe avnotify.exe avpexec.exe avpncc.exe avps.exe avscan.exe avshadow.exe avwebgrd.exe basfipm.exe bdc.exe bdlite.exe bdmcon.exe bdss.exe bdsubmit.exe bmrt.exe bpk.exe bwgo0000.exe ca.exe caav.exe caavcmdscan.exe caavguiscan.exe caf.exe cafw.exe caissdt.exe capfaem.exe capfasem.exe capfsem.exe capmuamagt.exe casc.exe casecuritycenter.exe caunst.exe cavrep.exe cavrid.exe cavscan.exe cavtray.exe cclgview.exe ccproxy.exe ccnfagent.exe ccprovsp.exe ccschedulersvc.exe ccsmagtd.exe ccsystemreport.exe cctray.exe ccupdate.exe cfftplugin.exe cfnotsrvd.exe cfpconfg.exe cfplogvw.exe cfpsbmit.exe cfpupdat.exe cfsmsmd.exe checkup.exe cka.exe cmdinstall.exe comhost.exe control_panel.exe cpdclnt.exe crashrep.exe csacontrol.exe csinject.exe csinsm32.exe csinsmnt.exe csrss_tc.exe cz.exe dbserv.exe dbsrv9.exe deloeminfs.exe diskmon.exe djsnetcn.exe doscan.exe drweb386.exe drwebcgp.exe drwebcom.exe drwebdc.exe drwebmng.exe drwebwcl.exe drwebwin.exe drwupgrade.exe dwengine.exe edisk.exe elogsvc.exe era.exe esecagntservice.exe esecservice.exe esmagent.exe etagent.exe evtprocessecfile.exe evtarmgr.exe evtmgr.exe exe.avxw.exe execstat.exe fmon.exe fortifw.exe fsaua.exe fsguidll.exe fsorsp.exe fspc.exe fsqh.exe fwinst.exe gcascleaner.exe gcasinstallhelper.exe gcasnotice.exe gcasservalert.exe gcasswupdater.exe gfireporterservice.exe ghost_2.exe ghosttray.exe giantantispywaremain.exe giantantispywareupdater.exe idle.exe igateway.exe inicio.exe ispwdsvc.exe isuac.exe isafinst.exe kaccore.exe kansgui.exe kansvr.exe kastray.exe kav32.exe kavfsgt.exe kavfsrcn.exe kavfsscs.exe kavisarv.exe kavlotsingleton.exe kavshell.exe kavss.exe kis.exe kislive.exe kissvc.exe klnacserver.exe klserver.exe klswd.exe klwtblfs.exe knownsvr.exe kpf4gui.exe kpf4ss.exe kpfw32.exe krbcc32s.exe kvdetech.exe kvolself.exe kvsrvxp_1.exe kxeserv.exe leventmgr.exe livesrv.exe lmon.exe log_qtine.exe lucallbackproxy.exe lucoms.exe lucoms~1.exe makereport.exe mantispm.exe masalert.exe massrv.exe mcappins.exe mcconsol.exe mcdash.exe mcdetect.exe mcinfo.exe mcmscsvc.exe mcods.exe mcpalmcfg.exe mcpromgr.exe mcshell.exe mcshld9x.exe mcsysmon.exe mctskshd.exe mcuimgr.exe mcupdmgr.exe mcvsftsn.exe monsvcnt.exe monsysnt.exe mpf.exe mpfconsole.exe mps.exe mpsevh.exe mpsvc.exe mrf.exe mscifapp.exe mskagent.exe mskdetct.exe msksrver.exe msksrvr.exe msscli.exe msssrv.exe nsmdemf.exe nsmdmon.exe nsmdreal.exe nsmdsch.exe msascuil.exe ndetect.exe neotrace.exe netalertclient.exe networx.exe ngctw32.exe ngserver.exe nipsvc.exe nisoptui.exe nlsvc.exe nod32krn.exe nod32kui.exe nscsrvce.exe ntcaagent.exe ntcadaemon.exe ntcaservice.exe oasclnt.exe oespamtest.exe ofcdog.exe okclient.exe op_viewer.exe opscan.exe paamsrv.exe pavjobs.exe pavmail.exe pavsrv50.exe pavsrv52.exe pavupg.exe pccnt.exe pccclient.exe pcclient.exe pctsauxs.exe pctsgui.exe pctssvc.exe pctstray.exe pep.exe pmon.exe pntiomon.exe pop3pack.exe ppmcativedetection.exe pqv2isvc.exe psctris.exe psh_svc.exe psimreal.exe pskmssvc.exe pview.exe pviewer.exe pxeservice.exe qclean.exe qdcsfs.exe rapuisvc.exe ras.exe rasupd.exe rcsvcmon.exe reportsvc.exe rfwproxy.exe rfwsrv.exe rfwstub.exe rnav.exe rsnetsvr.exe rstray.exe sahookmain.exe sav32cli.exe scanexplicit.exe scanfrm.exe schdsrvc.exe schupd.exe seestat.exe setloadorder.exe smoutlookpack.exe softmanager.exe srvload.exe srvmon.exe sschk.exe stinger.exe svcgenerichost svcntaux.exe swdsvc.exe sweepsrv.exe swnxt.exe swserver.exe sysdoc32.exe tclproc.exe tdimon.exe tmas.exe tpsrv.exe tracesweeper.exe trupd.exe unvet32.exe updtnv28.exe upfile.exe uplive.exe usergate.exe v2iconsole.exe v3clnsrv.exe v3exec.exe v3imscn.exe vetmsg.exe vpatch.exe vprosvc.exe vrv.exe vrvmail.exe vrvmon.exe vrvnet.exe webtrapnt.exe wssfcmai.exe xagtnotif.exe xfilter.exe csfalconservice.exe csfalconcontainer.exe redcloak.exe omniagent.exe minionhost.exe pylumloader.exe daselam.exe agentservice.exe agentdaemon.exe dasantirme.exe callmsi.exe avkcl.exe certimporter-1614.exe ecapture.exe ecls.exe ecmd.exe ecmds.exe ecomserver.exe eeclnt.exe aawservice.exe bullguardscanner.exe savservice.exe wrsa.exe psuaservice.exe bdagent.exe avastsvc.exe avgsvc.exe kavtray.exe kavfswp.exe kavfswh.exe kavfs.exe 360tray.exe 360safe.exe zhudongfangyu.exe 360sd.exe a2guard.exe ad-watch.exe cleaner8.exe vba32lder.exe mongoosagui.exe coranticontrolcenter32.exe f-prot.exe cmctrayicon.exe k7tsecurity.exe unthreat.exe cksoftshiedantivirus4.exe avwatchservice.exe arcatasksservice.exe iptray.exe psafesystray.exe nspupsvc.exe spywareterminatorshield.exe bkavservice.exe msmpeng.exe sbamsvc.exe ccsvchst.exe f-secure.exe avp.exe kvmonxp.exe ravmond.exe mcshield.exe tbmon.exe frameworkservice.exe egui.exe ekrn.exe eguiproxy.exe kxetray.exe knsdtray.exe tmbmsrv.exe Старший специалист отдела обнаружения вредоносного ПО
PDONUT_INSTANCE
(которая расположена по адресу 169F26F00005
и упоминается в самом начале статьи) содержит изменения, поэтому некоторые поля на скриншотах отображаются неверно.file_hash_checker
) обнаруживает ВПО на самом раннем этапе заражения.А вот список имен процессов, как и обещал.
Виталий Самаль
ссылка на оригинал статьи https://habr.com/ru/articles/826346/
Добавить комментарий