• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Хитрый майнeр taskhost RealtekHD


Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Недавно ко мне обратился человек за помощью с просьбой удалить у него майнер. Казалось бы, какие могут быть майнеры, но всё-таки люди где-то их находят.
Вооружившись утилитой process hacker видим такую картину:

process_hacker.jpgprocess_hacker2.jpg

2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:

realtekHD_empty.jpg

Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный аттрибут вместе со скрытым. В этом случае нужно включить и отображение системных файлов. Возвращаемся в папку и видим, что тут лежат 2 зловреда taskhost.exe и taskhostw.exe

realtekHD.jpg

Удалить мы их не можем, так как они висят в памяти в замороженном (suspend) состоянии, если их разморозить, то один из них тут же закроет папку. Но их можно переименовать, называем как нибудь по-корявому, создаем на их месте КАТАЛОГ с теми же именами, что были изначально. Должны быть такая примерно картина:

realtekHD_folders.jpg


Теперь они не смогут сами себя перезаписать. Далее, следует воспользоваться утилитой Autoruns, чтобы увидеть все варианты автозапуска зловреда и выпилить все его непотребства.

autoruns.jpg


Также не забываем про тот самый отдельный процесс audiodg, который прячется в той же ProgramData\WindowsTasks. Помимо его самого тут ещё много всего интересного. Кстати, у человека, которому я помогал ЦП от intel и карта от nvidia. Откуда тогда здесь AMD? )))

WindowsTask.jpg

Точно также переименовываем audiodg вот что-то нечитаемое, создаем каталог с тем же именем, затем завершаем процессы зловреда в process hacker и выносим содержимое папки. Теперь можно спокойно перезагрузить ОСь. После перезапуска ничего не шумит и не тормозит, но всё же одна проблема осталось: Сайты с антивирусами не открываются в силу модификации файла hosts, очистить его не такая проблема, но поставить антивирус уже сложнее, так как майнер насоздавал кучу папок, куда всё обычно ставится. Просто так через delete их не удалить, для этого требуется пакет PStools, в комплекте которого имеется утилита psexec, что позволяет запустить cmd от имени системы и удалить их.
psexec64.exe -s -i cmd.exe

programfiles.jpg

Итак после минут 40 ковыряний ликвидируем зловреда. P.S. Перед удалением трояна я попросил человека скинуть экземпляры. К сожалению, у меня нет опыта в реверс-инженериге, максимум что я мог выяснить, это модификация Gminer'a. Пэйлоад весит много, поэтому закинул на диск.

Пароль ru-sfera.pw
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Какой вьедливый вредонос...:(
А в безопасном режиме можно его удалить ?
Может проще было в безопасном удалить файлы и из автозагрузки удалить ?
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Какой вьедливый вредонос...:(
А в безопасном режиме можно его удалить ?
Может проще было в безапасном удалить файлы и из автозагрузки удалить ?
Так да, было бы проще, но не уверен, ибо делал удаленно. А человек с компом на Вы.
 

Бюджетный Бюджет

Уважаемый пользователь
Форумчанин
Регистрация
24.10.2022
Сообщения
25
Репутация
19
Telegram
Удивительно, помню раньше находил у себя подобные процессы однако не обращал внимания (Драйвера реалтековские)
Переустановил винду в 2020-ом. Благодарю WinkSmile
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Удивительно, помню раньше находил у себя подобные процессы однако не обращал внимания (Драйвера реалтековские)
Переустановил винду в 2020-ом. Благодарю WinkSmile
Не за что) Вот такие бывают сюрпризы. Сидишь себе спокойно, никого не трогаешь, а тут раз и кулера начинают повышать обороты.
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Кстати, хочу отметить, это уже не первый случай. Мне до сих пор не понятно каким образом майнер попадает в систему. Вероятно, через какой-нибудь репак с игрой, но люди отказываются в это верить, мол сайт проверен. А в одном из случаев майнер был замечен штатным защитником на Win 11.

powershell.jpg

Вот такой вот поворот) Пытался изучить, но вредоносные сайты были уже не активны. Может подкскажет кто, что происходит
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Интересно, а виндовый дефендер не блокирует угрозу, детектит-же, или отключают ?

Пробежался по ссылке выше, в основном прячется под активаторы и прочий варез.)
 
Верх Низ