Сегодня я расскажу про обман со стороны некоторых сайтов данные сайты распространяли. Сайты под видом активаторов Windows: KMS Portable by Ratiborus chew7 reloader7 Вместо этого с сайта скачивался Майнер который именуется как: Colin miner Coinbase Themida Tenga Вирус состоит из: Game.exe (SFX-архив + блокировщик) AppProtocol.exe (назначение неизвестно) AMD.exe (майнер криптовалюты Monero) Svhost.exe (назначение неизвестно) Unescape.exe (Удалённый доступ по RDP – RMS от TiktonIT) 7zhncmd.exe (консольный 7zip) IP.exe (отмечен Windows Defender как вредоносный) Setup.exe (отмечен Windows Defender как вредоносный) Update.exe (отмечен Windows Defender как вредоносный) Winserv.exe (Удалённый доступ по RDP – RMS от TiktonIT) Winlogon.bat (Активирует правила). new.xml (правила AppLocker для блокировки антивирусов по издателям программ) rdpwrap.dll (патч на многопользовательский RDP) rdpwrap.ini (конфигурация патча) MicrosoftHost.exe (Биткойн Майнер) Список файлов вируса: C:\ProgramData\Windows
Сегодня я расскажу про обман со стороны некоторых сайтов данные сайты распространяли.
Сайты под видом активаторов Windows:
KMS Portable by Ratiborus
chew7
reloader7
Вместо этого с сайта скачивался Майнер который именуется как:
Colin miner
Coinbase
Themida
Tenga
Вирус состоит из:
Game.exe (SFX-архив + блокировщик)
AppProtocol.exe (назначение неизвестно)
AMD.exe (майнер криптовалюты Monero)
Svhost.exe (назначение неизвестно)
Unescape.exe (Удалённый доступ по RDP – RMS от TiktonIT)
7zhncmd.exe (консольный 7zip)
IP.exe (отмечен Windows Defender как вредоносный)
Setup.exe (отмечен Windows Defender как вредоносный)
Update.exe (отмечен Windows Defender как вредоносный)
Winserv.exe (Удалённый доступ по RDP – RMS от TiktonIT)
Winlogon.bat (Активирует правила).
new.xml (правила AppLocker для блокировки антивирусов по издателям программ)
rdpwrap.dll (патч на многопользовательский RDP)
rdpwrap.ini (конфигурация патча)
MicrosoftHost.exe (Биткойн Майнер)
Список файлов вируса:
C:\ProgramData\Windows Task\IP.exe
C:\ProgramData\Windows Task\AMD.exe
C:\ProgramData\RealtekHD\taskhostw.exe
C:\ProgramData\WindowsTask\AppProtocol.exe
C:\ProgramData\WindowsTask\Svhost.exe C:\ProgramData\WindowsTask\Winserv.exe
C:\ProgramData\WindowsTask\audiodg.exe
C:\ProgramData\Setup\Game.exe
C:\ProgramData\Setup\Update.exe
C:\ProgramData\Setup\Setup.exe
C:\ProgramData\install\Winlogon.bat
C:\ProgramData\install\new.xml
C:\Program Files\RDP Wrapper\rdpwrap.dll
C:\Program Files\RDP Wrapper\rdpwrap.ini
Функции Taskhostw:
Отслеживает пути в Проводнике
Отслеживает пути в свойствах Диспетчера задач
Отслеживает открытые URL-адреса
Отслеживает поисковые запросы
Закрывает программы по ключевым словам
Блокирует запуск программ
Блокирует доступ к доменам через hosts
Блокирует доступ к папкам антивирусов
Скрывает вкладку «Безопасность» в проводнике.
Перезаписывает ветки реестра
Создаёт задачи на запуск файлов вируса, маскируя их под системные процессы (Windows Update, Wininet выдаёт себя за Winint)
Добавляет себя в исключения Windows Defender (процессы, пути).
Добавляет себя в автозагрузку как RealtekH
Ключевые слова, по которым вирус реагирует:
Taskhostw.exe
антивирус скачать
Dr.Web
Kaspersky
Kwrt
Avz
Malwarebytes
Cureit
360 Total Security
Zilla
IOBit
Avira
Avast
AVG
Как удалить вирус
Unescap.exe
Как удалить майнер
C:\ProgramData
TaskHost
Winserv
Windows Task Host
Windows Task
Сетевая активность вируса:
IP: 91.184.248.192
Имя хоста: googlesearchproxy.one
тип IP: Публичный/Хостинг провайдер.
Провайдер: Smartape
Страна: Чехия.
Порты:
3333 (пул Bitcoin), 5665 (удалённый доступ
Домен не имеет отношения к Google.