Winmon sys что это за файл и как его удалить
winmon.sys is another dreadful Trojan virus that has been specially crafted by a team of vicious hackers for evil purposes. It’s a silent intruder that doesn’t need users’ approval to get inside their PCs. Once this notorious Trojan successfully infiltrates your computer, initially, it hides itself in the deep corner of the machine so that it could not be easily detected by the scanning of anti-malware application. After that, it injects its malicious codes in distinct PC’s locations and grabs complete control over the entire system. It makes spiteful entries in boot section and modifies critical registry settings which allows winmon.sys to get automatically activated every time the PC is started.
It messes with vital system files that are necessary for smooth computer functioning and prevents many installed apps as well as drivers from working normally. It spies on your web activities and collects important information by the help of which, its authors generate eye-catching advertisements. This hazardous parasite bombards your PC screen with thousands of annoying ads all over the day and makes your web sessions very problematic. It redirects you to potentially dangerous web pages that are fully occupied with malevolent contents and leads the device to get infected with other perilous viruses. The gathered data may also include your personal and sensitive information and hence, winmon.sys is a big threat for your privacy too.
It displays fake security warnings stating that your PC is at serious threat and can face major problems in coming time. It then suggests buying and installing its recommended software presenting it as a useful tool which will take care of all the issues. But, we highly advise to ignore these fake messages because this notorious Trojan just tries to deceive you into installing bogus software and generate illicit profits from you. It exploits the security loopholes and allows other pernicious infections like adware, spyware, rootkits, worms etc., to attack the device as well and cause more damages inside. winmon.sys has ability to implement destructive Ransomware in the infected PC which tends to encrypt users’ crucial files and then ask them to pay off for the decryption key.
How Does winmon.sys Enter Your System
Recommended Removal Solution: Free Spyhunter Download
Methods to uninstall winmon.sys from infected Windows PC
The elimination of winmon.sys and all its related files from infected Windows PC is possible with two popular methods. Below you will get complete description on both processes that will help you get rid of this pesky malware.
Process A: Remove winmon.sys using Manual guide from your computer
Process B: Simple remove winmon.sys using Automatic method (SpyHunter Anti-Malware)
Process A: Guide to delete winmon.sys opting Manual removal procedure
Risks associated with Manual removal technique
If you have strong technical skills and excellent knowledge of registry entries and system files then going through this process is best option you can choose to eliminate this nasty threat. But if you are not having enough skills then it can prove risky due to its complex process and lengthy task. A minor change in system settings or missing of any process can make situation worst. It completely damages several important files and makes your computer useless.
Step 1: Boot computer in Safe Mode
- At first you required to restart PC to open boot menu option
- Next, you require to continuously press F8 button until Windows Advanced Option appear on display screen
- Now you need to select “Safe Mode with Networking Option” using arrow key and then press Enter key.
Step 2: Eliminate winmon.sys from Installed browsers
Instructions For Google Chrome
- At first you need to open browser and then click on right top bottom on gear icon. Next select for Tools and then you need to open Extension option
- Now several for winmon.sys associated extension from given list and then click on Trash icon to remove completely from browsers
Reset browser settings
- At first open Chrome and click on gear icon at top right bottom and then select Settings option. Choose for Show Advanced Settings
- Finally click on Reset Settings button option to complete process
Instructions For Firefox
- At first open Firefox and click on wrench bar at top right bottom and then select Add-ons option
- Next go to Extensions option and then select for extension related with winmon.sys and eliminate it
Reset settings of Browser
- Go to top right corner wrench bar icon and then select Help Option
- Next select “Troubleshooting Information” then click on “Refresh Firefox” button from troubleshooting Information page
Instructions For Internet Explorer
- At first you need to open Internet Explorer and then click on Tools menu. Next select Manage Add-ons option from shown list
- Now select Toolbars and Extension from left panel and then select winmon.sys and all its related extension. Finally click on Disable button to eliminate it permanently
Reset Browser Settings
- You need to open Internet Explorer then click on Tools menu then Select Internet Option from given list
- Next Choose for “Advanced Tab” option and then hit on Reset button as shown in image
- Finally mark “Delete Personal Settings” and then click on Reset option
Step 3: End winmon.sys and its associated processes from Task Manager
- To open Windows task manager, you need to press CTRL+ALT+DEL button together
- Next select processes tab to find our all running process
- Finally choose all malicious processes and click on End process button to complete this task
Step 4: Uninstall winmon.sys from Windows using Control Panel
Instructions For Windows XP:
- Go to Start button and then click on Control Panel
- Find out winmon.sys and other malicious program and remove it permanently
Instructions For Windows 7 & Vista:
- First click on Start menu option and then open Control panel
- Now go to programs and select Uninstall a programs option
- With given list search for winmon.sys and its related programs and click on uninstall button
Instructions For Windows 8/8.1
- At first go to lower left corner of display screen and then click on Start button
- Now type control panel in search box and then click on it
- Search for infected application and programs installed and uninstall it
Instructions For Windows 10:
- At first go to Start menu and then Search for Control Panel
- Now choose program and Feature option in Control panel Window
- From given list find out winmon.sys and its related programs and Click on Uninstall tab
- Finally, you will get confirmation Windows on computer, Click on Yes and restart PC
Step 5: Remove winmon.sys from Windows Registry Editor
- Next type regedit in search box and click on OK button
- Now search for registry entries that are created by winmon.sys and delete it permanently
Process B: Automatic Method to delete winmon.sys (Using Spyhunter Anti-Malware)
The use of Spyhunter Malware scanner is one of the best and reliable options you can go through to fix issues related with this threat. Its advance mechanism to detect and eliminate nasty threat from Windows PC provides complete safety to your computer. It has capability to detect for winmon.sys and all kind of other malware such as Trojan, worms, rootkits, backdoor, ransomware, adware and others.
Why using Spyhunter is Effective and Safe?
If your Windows PC trapped with winmon.sys and you are unable to deal with issues related with this nasty infection then use of Syhunter Anti-Malware can help you get rid of this trouble. It is an ultimate powerful scanner that comes with so many advanced feature and latest techniques to detect for malign threats. The rich user Interface of this program helps users with less technical skills to complete removal procedure without any hassle. The 4 easy steps removal guide mentioned below will allow you delete winmon.sys instant from Windows PC.
User Guide: Steps to download and run Spyhunter to Uninstall winmon.sys
Step 1: At first you need to Download Spyhunter Anti-Malware and run application
Step 2: Next, you need click on “Scan Computer Now” option as shown in picture
Step 3: It shows detected viruses in thumbnail format with its complete details
Step 4: Finally click on “Fix Threats” button to eliminate all nasty viruses
День добрый. Начал компьютер загружаться на все 100%, вылетать и не грузиться браузер firefox.
Решил прогнать DrWeb cureit. Нашло вирусы. Но после "удаления" их этой утилитой ничего не помогло.
Решил написать сюда. Жду помощи.Заранее спасибо!
Странность по двум процессам csrss.exe and winlogon.exe
Всем доброго времени суток! Уже неделю у меня вызывают подозрения два процесса csrss.exe и.
Странные процессы csrss.exe и winlogon.exe
2 данных процесса (обведены) вызывают у меня смутные подозрения. 1) если нажать ПКМ по ним и.
BSOD ntoskrnl.exe\csrss.exe
Здравствуйте, столкнулся с проблемой которую не удается решить, это краш шинды и BSOD при небольшой.
csrss.exe
Изменил расширение вышеуказанного файлика, теперь не загружается виндовс, вылазит синий экран.
Соберите новый CollectionLog с помощью Автологера.
Внимание! Рекомендации написаны специально для пользователя Slaventiy99. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________
После перезагрузки, выполните такой скрипт:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Исключения в Защитнике удалите вручную.
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена. "
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер может быть перезагружен .
winmon.sys is another dreadful Trojan virus that has been specially crafted by a team of vicious hackers for evil purposes. It’s a silent intruder that doesn’t need users’ approval to get inside their PCs. Once this notorious Trojan successfully infiltrates your computer, initially, it hides itself in the deep corner of the machine so that it could not be easily detected by the scanning of anti-malware application. After that, it injects its malicious codes in distinct PC’s locations and grabs complete control over the entire system. It makes spiteful entries in boot section and modifies critical registry settings which allows winmon.sys to get automatically activated every time the PC is started.
It messes with vital system files that are necessary for smooth computer functioning and prevents many installed apps as well as drivers from working normally. It spies on your web activities and collects important information by the help of which, its authors generate eye-catching advertisements. This hazardous parasite bombards your PC screen with thousands of annoying ads all over the day and makes your web sessions very problematic. It redirects you to potentially dangerous web pages that are fully occupied with malevolent contents and leads the device to get infected with other perilous viruses. The gathered data may also include your personal and sensitive information and hence, winmon.sys is a big threat for your privacy too.
It displays fake security warnings stating that your PC is at serious threat and can face major problems in coming time. It then suggests buying and installing its recommended software presenting it as a useful tool which will take care of all the issues. But, we highly advise to ignore these fake messages because this notorious Trojan just tries to deceive you into installing bogus software and generate illicit profits from you. It exploits the security loopholes and allows other pernicious infections like adware, spyware, rootkits, worms etc., to attack the device as well and cause more damages inside. winmon.sys has ability to implement destructive Ransomware in the infected PC which tends to encrypt users’ crucial files and then ask them to pay off for the decryption key.
How Does winmon.sys Enter Your System
Recommended Removal Solution: Free Spyhunter Download
Methods to uninstall winmon.sys from infected Windows PC
The elimination of winmon.sys and all its related files from infected Windows PC is possible with two popular methods. Below you will get complete description on both processes that will help you get rid of this pesky malware.
Process A: Remove winmon.sys using Manual guide from your computer
Process B: Simple remove winmon.sys using Automatic method (SpyHunter Anti-Malware)
Process A: Guide to delete winmon.sys opting Manual removal procedure
Risks associated with Manual removal technique
If you have strong technical skills and excellent knowledge of registry entries and system files then going through this process is best option you can choose to eliminate this nasty threat. But if you are not having enough skills then it can prove risky due to its complex process and lengthy task. A minor change in system settings or missing of any process can make situation worst. It completely damages several important files and makes your computer useless.
Step 1: Boot computer in Safe Mode
- At first you required to restart PC to open boot menu option
- Next, you require to continuously press F8 button until Windows Advanced Option appear on display screen
- Now you need to select “Safe Mode with Networking Option” using arrow key and then press Enter key.
Step 2: Eliminate winmon.sys from Installed browsers
Instructions For Google Chrome
- At first you need to open browser and then click on right top bottom on gear icon. Next select for Tools and then you need to open Extension option
- Now several for winmon.sys associated extension from given list and then click on Trash icon to remove completely from browsers
Reset browser settings
- At first open Chrome and click on gear icon at top right bottom and then select Settings option. Choose for Show Advanced Settings
- Finally click on Reset Settings button option to complete process
Instructions For Firefox
- At first open Firefox and click on wrench bar at top right bottom and then select Add-ons option
- Next go to Extensions option and then select for extension related with winmon.sys and eliminate it
Reset settings of Browser
- Go to top right corner wrench bar icon and then select Help Option
- Next select “Troubleshooting Information” then click on “Refresh Firefox” button from troubleshooting Information page
Instructions For Internet Explorer
- At first you need to open Internet Explorer and then click on Tools menu. Next select Manage Add-ons option from shown list
- Now select Toolbars and Extension from left panel and then select winmon.sys and all its related extension. Finally click on Disable button to eliminate it permanently
Reset Browser Settings
- You need to open Internet Explorer then click on Tools menu then Select Internet Option from given list
- Next Choose for “Advanced Tab” option and then hit on Reset button as shown in image
- Finally mark “Delete Personal Settings” and then click on Reset option
Step 3: End winmon.sys and its associated processes from Task Manager
- To open Windows task manager, you need to press CTRL+ALT+DEL button together
- Next select processes tab to find our all running process
- Finally choose all malicious processes and click on End process button to complete this task
Step 4: Uninstall winmon.sys from Windows using Control Panel
Instructions For Windows XP:
- Go to Start button and then click on Control Panel
- Find out winmon.sys and other malicious program and remove it permanently
Instructions For Windows 7 & Vista:
- First click on Start menu option and then open Control panel
- Now go to programs and select Uninstall a programs option
- With given list search for winmon.sys and its related programs and click on uninstall button
Instructions For Windows 8/8.1
- At first go to lower left corner of display screen and then click on Start button
- Now type control panel in search box and then click on it
- Search for infected application and programs installed and uninstall it
Instructions For Windows 10:
- At first go to Start menu and then Search for Control Panel
- Now choose program and Feature option in Control panel Window
- From given list find out winmon.sys and its related programs and Click on Uninstall tab
- Finally, you will get confirmation Windows on computer, Click on Yes and restart PC
Step 5: Remove winmon.sys from Windows Registry Editor
- Next type regedit in search box and click on OK button
- Now search for registry entries that are created by winmon.sys and delete it permanently
Process B: Automatic Method to delete winmon.sys (Using Spyhunter Anti-Malware)
The use of Spyhunter Malware scanner is one of the best and reliable options you can go through to fix issues related with this threat. Its advance mechanism to detect and eliminate nasty threat from Windows PC provides complete safety to your computer. It has capability to detect for winmon.sys and all kind of other malware such as Trojan, worms, rootkits, backdoor, ransomware, adware and others.
Why using Spyhunter is Effective and Safe?
If your Windows PC trapped with winmon.sys and you are unable to deal with issues related with this nasty infection then use of Syhunter Anti-Malware can help you get rid of this trouble. It is an ultimate powerful scanner that comes with so many advanced feature and latest techniques to detect for malign threats. The rich user Interface of this program helps users with less technical skills to complete removal procedure without any hassle. The 4 easy steps removal guide mentioned below will allow you delete winmon.sys instant from Windows PC.
User Guide: Steps to download and run Spyhunter to Uninstall winmon.sys
Step 1: At first you need to Download Spyhunter Anti-Malware and run application
Step 2: Next, you need click on “Scan Computer Now” option as shown in picture
Step 3: It shows detected viruses in thumbnail format with its complete details
Step 4: Finally click on “Fix Threats” button to eliminate all nasty viruses
You have 2 ways to remove WINMON.SYS:
1. Remove Automatically.
2. Remove Manually.
Why I recommend you to use an automatic way?
- You know only one virus name: "WINMON.SYS", but usually you have infected by a bunch of viruses.
The UnHackMe program detects this threat and all others. - UnHackMe is quite fast! You need only 5 minutes to check your PC.
- UnHackMe uses the special features to remove hard in removal viruses. If you remove a virus manually, it can prevent deleting using a self-protecting module. If you even delete the virus, it may recreate himself by a stealthy module.
- UnHackMe is small and compatible with any antivirus.
- UnHackMe is fully free for 30-days!
People say
Here’s how to remove WINMON.SYS virus automatically:
So it was much easier to fix such problem automatically, wasn't it?
That is why I strongly advise you to use UnHackMe for remove WINMON.SYS redirect or other unwanted software.
How to remove WINMON.SYS manually:
STEP 1: Check all shortcuts of your browsers on your desktop, taskbar and in the Start menu. Right click on your shortcut and change it's properties.
You can see WINMON.SYS at the end of shortcut target (command line). Remove it and save changes.
In addition, check this command line for fake browser's trick.
For example, if a shortcut points to Google Chrome, it must have the path:
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.
Fake browser may be: …\Appdata\Roaming\HPReyos\ReyosStarter3.exe.
Also the file name may be: “chromium.exe” instead of chrome.exe.
STEP 2: Investigate the list of installed programs and uninstall all unknown recently installed programs.
STEP 3: Open Task Manager and close all processes, related to WINMON.SYS in their description. Discover the directories where such processes start. Search for random or strange file names.
Remove WINMON.SYS virus from running processes
STEP 4: Inspect the Windows services. Press Win+R, type in: services.msc and press OK.
Remove WINMON.SYS virus from Windows services
Disable the services with random names or contains WINMON.SYS in it's name or description.
STEP 5: After that press Win+R, type in: taskschd.msc and press OK to open Windows Task Scheduler.
Delete any task related to WINMON.SYS. Disable unknown tasks with random names.
STEP 6: Clear the Windows registry from WINMON.SYS virus.
Press Win+R, type in: regedit.exe and press OK.
Remove WINMON.SYS virus from Windows registry
Find and delete all keys/values contains WINMON.SYS.
Set Internet Explorer Homepage
Change Firefox Home Page
STEP 10: And at the end, clear your basket, temporal files, browser's cache.
But if you miss any of these steps and only one part of virus remains – it will come back again immediately or after reboot.
I use UnHackMe for cleaning ads and viruses from my friend's computers, because it is extremely fast and effective.
STEP 1: Download UnHackMe for free
UnHackMe removes Adware/Spyware/Unwanted Programs/Browser Hijackers/Search Redirectors from your PC easily.
UnHackMe is compatible with most antivirus software.
UnHackMe is 100% CLEAN, which means it does not contain any form of malware, including adware, spyware, viruses, trojans and backdoors. VirusTotal (0/56).
System Requirements: Windows 2000-Windows 8.1/10 32 or 64-bit. UnHackMe uses minimum of computer resources.
STEP 2: Double click on UnHackMe_setup.exe
You will see a confirmation screen with verified publisher: Greatis Software.
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.
С чего все началось
В начале года одна компания пришла к нам с вполне конкретной проблемой: в инфраструктуре на сетевом оборудовании были обнаружены попытки сканирования портов, характерных для оборудования Mikrotik, а также брутфорса серверов по протоколу SSH. Сначала мы решили, что был скомпрометирован сервер из внешнего периметра. Уж очень замеченная активность была похожа на работу какого-нибудь бота, которого злоумышленники обычно закидывают на уязвимые серверы в автоматическом режиме. Привет, Mirai, Kaji, Hajime и компания!
Но, как оказалось, источниками подозрительной активности были хосты под управлением Windows, к тому же вполне рядовые. Образ одного из таких хостов и был передан на анализ экспертам Solar JSOC CERT.
Первоначальный анализ скомпрометированной системы
При анализе сразу же бросилось в глаза большое число (более 83!) неподписанных исполняемых файлов в директории %TEMP%\csrss (о них подробно расскажем ниже):
Также в %TEMP%\csrss\smb был найден архив deps.zip (470CF2EA0F43696D2AF3E8F79D8A2AA5D315C31FC201B7D014C6EADD813C8836) и его содержимое:
Данные файлы являются ничем иным, как исполняемыми файлами, которые используются для эксплуатации уязвимости EternalBlue (CVE-2017-0144). Там же были найдены файлы, относящиеся к DoublePulsar. В целом содержимое этой папки можно назвать результатом деятельности группировки The Shadow Brokers в далеком 2017-м.
Помимо этих файлов, мы нашли определенно подозрительные задачи:
Также файл (C:\Windows\RSS\csrss.exe) был прописан в автозапуске в реестре (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) под именем «BillowingBreeze».
Таким образом, если собрать все данные в кучу (и немного погуглить), то приходит только один вывод: в инфраструктуре компании вовсю развернулось ВПО семейства Glupteba. Его основной модуль – C:\Windows\RSS\csrss.exe.
Анализ основного модуля Glupteba
Итак, мы опознали Glupteba. Это модульное ВПО, написанное на языке Go. Для защиты своих файлов от обнаружения оно использует множество разных техник. Сейчас расскажем вам интересные моменты анализа, а также покажем их корреляцию с артефактами на системе.
Граф основной функции, построенный в IDA, пугает!
Условно весь процесс работы ВПО Glupteba можно разделить на две фазы:
- проверка окружения, повышение привилегий до SYSTEM, установка;
- создание задач, установка руткитов, запуск потоков, следящих за компонентами, получение и выполнение команд.
Первая фаза работы ВПО
Первое, что происходит после запуска исполняемого файла, – проверка окружения на соответствие следующим параметрам:
- OS (SELECT Caption FROM Win32_OperatingSystem) == «Microsoft Windows 7 Professional»;
- CPU (SELECT Name FROM Win32_Processor) == «Intel® Core(TM) i5-6400 CPU @ 2.70GHz»;
- GPU (SELECT Name FROM Win32_VideoController) == «Standard VGA Graphics Adapter».
Далее происходит инициализация конфигурации ВПО. Первым делом проверяется наличие конфигурации «старого образца»: HKCU\Software\Microsoft\TestApp (возможно, до этого момента ВПО находилось в стадии тестирования, но теперь все серьезно). При обнаружении конфигурация переписывается в новое расположение: HKCU\Software\Microsoft\ И при необходимости обновляется.
Если же старая конфигурация отсутствует, то она просто пишется по указанному выше расположению. То есть мы увидели «эволюцию» версий ВПО. Это видно и на анализируемой системе. Слева – конфигурация из старого местоположения, справа – из нового (в данном случае – HKCU\Software\Microsoft\eadd010f):
Видно, что значения UUID (используется для идентификации зараженного хоста на стороне злоумышленника) одинаковы, как и дата первой установки (FirstInstallDate). Переводим в более удобный формат и узнаем, что заражение произошло… барабанная дробь. 2 ноября 2018 года!
Подтверждается это также и временными метками MFT файлов в директории %TEMP%\csrss: они расположены между 2 ноября 2018 года и моментом обращения к нам заказчика (январь 2021 года).
Файл C:\Windows\RSS\csrss.exe также был создан 2 ноября 2018 года, а изменен 29 сентября 2020 года. Ветка реестра же последний раз была изменена 14 января 2021 года (дата снятия образа), что говорит об активной работе.
Основные значения конфигурации:
Далее производится проверка и повышение привилегий (в случае необходимости) вплоть до SYSTEM:
1) Обход UAC (HKCU\Software\Classes\ms-settings\shell\open\command:fodhelper или HKCU\Software\Classes\mscfile\shell\open\command:CompMgmtLauncher):
2) Получение токена SYSTEM через Trusted Installer и перезапуск себя с полученным токеном.
Стоит отметить, что без достаточных привилегий ВПО просто завершает свою работу, но при этом физически остается в инфраструктуре.
Следующий этап – проверка окружения на предмет виртуализации:
- Открытие \\.\VBoxMiniRdrDN;
- Проверка имени процессора: Nehalem;
- Проверка запущенных процессов: VBoxTray.exe, VBoxService.exe, prl_cc.exe, prl_tools.exe, SharedIntApp.exe, vmusrvc.exe, vmsrvc.exe, vmtoolsd.exe.
- Копирование своего исполняемого файла в C:\Windows\RSS\csrss.exe;
- Проверка мьютекса Global\h48yorbq6rm87zot (индикатора работы основного модуля ВПО);
- Добавление исключений на WFP командой «cmd.exe /C „netsh advfirewall firewall add rule name=“csrss» dir=in action=allow program=«C:\WINDOWS\rss\csrss.exe» enable=yes";
- Добавление исключений Windows Defender (через реестр): процесс csrss.exe и папка C:\Windows;
- Добавление себя в автозапуск;
- Перезапуск себя из основного расположения C:\Windows\RSS\csrss.exe.
Вторая фаза работы ВПО
Она состоит из нескольких этапов:
Для этого ВПО отправляет TXT-query к домену вида .:
Производится отправка некоторой информации на C2 (установленное ПО, браузер по умолчанию):
Создаются ранее упомянутые задачи:
Установка руткитов, обеспечивающих скрытную работу ВПО
- Winmon – сокрытие запущенных процессов путем передачи их PID в \\.\WinMon;
- WinMonFS – сокрытие директорий/файлов путем передачи путей в \\.\WinMonFS. Именно благодаря этому руткиту было невозможно обнаружить директорию %TEMP%\csrss на «живой» системе;
- WinmonProcessMonitor – постоянное завершение большого списка процессов, относящихся к средствам отладки, различным майнерам, ВПО, АВПО.
На этом же этапе (если операционная система определена как Windows 7) устанавливается сертификат:
Установка службы WinDefender
Производится проверка наличия службы WinDefender и исполняемого файла C:\Windows\windefender.exe. Если отсутствуют – с CDN загружается и запускается указанный исполняемый файл. Назначение – работа в формате службы, постоянная проверка статуса работы основного модуля, загрузка и перезапуск в случае необходимости.
Запуск потоков, следящих за основными функциями
На данном этапе запускаются потоки:
- main.watchCDN – поток, в котором производится проверка и обновление сервера CDN в конфигурации (запросы к /api/cdn на C2);
- main.watchWindowsUpdatesService – поток, в котором производятся попытки остановки и удаления службы обновления wuauserv;
- main.watchDefender – поток, в котором производится постоянное обновление исключений Windows Defender;
- main.watchWUP – поток, следящий за майнером XMRig (загружается в %TEMP%\csrss\wup: %TEMP%\csrss\wup\wup.exe). Перезапускает майнер при необходимости, отправляет его статистику, скачивает исполняемый файл майнера с CDN;
- main.watchSMB – поток, отвечающий за распространение ВПО через эксплуатацию EternalBlue (именно в нем производится загрузка и распаковка архива deps.zip, а также сканирование сети на наличие уязвимых хостов).
Далее в бесконечном цикле производится отправка информации из конфигурации на сервер управления и получение ответа. Пример нагрузки, отправляемой на сервер:
Ответ расшифровывается, получается команда вместе с аргументами, производится ее исполнение. Список команд под
Передаваемая информация, как и получаемая, шифруется AES256GCM с постоянным ключом и кодируется Base64.
Отдельного внимания заслуживает алгоритм смены серверов управления.
Интересный факт: каждый раз, когда производится poll (запрос к серверу управления для получения команды), значение PC в конфигурации увеличивается на 1. Для данного кейса значение PC равно 119643. Значит, команды были получены почти 120 тысяч раз за все время работы Glupteba.
Пример аргументов команды run-v3, полученной от сервера управления:
Дополнительные модули
Как уже говорилось выше, в директории %TEMP%\csrss было обнаружено множество различных исполняемых файлов, которые являются дополнительными модулями вредоноса. Интересно то, что многие из них являются различными версиями одних и тех же модулей, создаваемых в разное время с момента первичного заражения. При желании можно отследить историю появления новых версий каждого модуля.
Дальнейшее развитие
После первичного обнаружения ВПО и определения его индикаторов компрометации наша команда проверила обращения к ним из инфраструктуры заказчика. Таким образом, было обнаружено множество других серверов, зараженных после 2 ноября 2018 года.
Какие выводы?
Исходя из вышесказанного, основные цели Glupteba:
- Кража пользовательских данных с наибольшего числа хостов в зараженной инфраструктуре (хоть и не удалось выяснить назначение расширения для браузера, чутье подсказало, что оно используется для кражи данных с различных сайтов);
- Добыча криптовалюты на максимально возможном числе хостов.
И главное: как показывает практика, вредоносная активность далеко не всегда является тем, чем кажется на первый взгляд.
Авторы:
Владислав Лашкин, младший инженер технического расследования группы расследования инцидентов Solar JSOC CERT
Иван Сюхин, инженер технического расследования отдела расследования инцидентов Solar JSOC CERT
Читайте также: