(no subject)

[twilightshade]

Обнаружил Троян биткоин майнер, как же задолбали эти биткоинщики!
Вирус называется RiskWareBitcoinMiner исполняемый файл csrss253.ехе (маскируется под нужный файл винды csrss.exe) запускается скриптом: файл с расширением css через пуск/программы/автозагрузка да так примитивно и слава яйцам иначе бы я не поймал) Malwarebytes и Adware он ловится (так его и обнаружил) но не убивается, поскольку всё его тело сидит в папке ProgramData, ага прямо в корне, там всё что в корне тело вируса сами экзешники, Bat-файлы, архив, видимо для того чтобы оттуда достать вирус если антивирь его убьёт, всё по-взрословму :) Если бы вирус писал не криворукий двоечник и поместил бы автозагрузку в реестр, а тело запрятал куда-нибудь подальше, было бы вообще всё по-серьёзному. А так пустяки, но всё же нормальный чел писал разве что первокурсник, вирус прячется, систему особо не грузит, впрочем мой проц майнить и не умеет только видеокарта, а если бы и она не умела вирус может бы и не сел.

Comments

[20_00]

Теперь главное понять как произошло заражение. Правильное поведение в интернете с т.з. профилактики заражения даже важнее, чем выбор правильного антивирусного софта. У меня COMODO с контролем поведения программ, автопесочницей + отдельно фаерволл. Очень давно ничего не ловил (с 2007 года).

[twilightshade]

У меня сейчас ничего резидентного не стоит. Только Malwarebytes и файрвол, даже не файрвол а контроллер брандмауэра windows firewall control. Ну и носкрипт в браузере. Вообще я на днях несколько подозрительных прог ставил, мож какая-то из них заражена. Но не пойму какая, мож раньше когда подцепил только заметил. Комодо рекомендуете, систему не грузит? Я в принципе решил не пользоваться резидентниками грузящими систему, вроде под семерку ничего валящего систему нет, а трояны... ну что трояны, их и Malwarebytes как-то ловит.

[20_00]

Я бы поставил что нибудь. Комодо вроде не грузит, но у меня старенькая версия, новая может грузит. А вообще есть простой способ. Есть маленькая прога - https://www.nirsoft.net/utils/hash_my_files.html. Делаете по маске текстовый файл со списком всех хешей exe и dll. Через месяц делаете второй и сравниваете в нотпад++. Если хоть один кэш изменился, а вы не ставили софта, и ничего не обновлялось (автоматические обновления я всегда отключаю) -- значит между сравнениями была несанкционированная активность.

[20_00]

ступил. вирус не обязательно модифицирует файлы (хотя продвинутые это делают почти всегда, маскируются -- вы даже полиморфа словите мониторингом хеща, точнее не словите, а обнаружите факт активности). ПОЭТОМУ. Надо смотреть не только изменение хешей, но и добавились ли новые строчки, появились ли новые файлы. И вот их пристально анализировать. Если не можете объяснить их происхождение = несанкцинированная активность.

[twilightshade]

Спасибо, надо попробовать.