Кто создает файл?

[return_a]

Так случилось, что попал моему знакомому один "экспонат". Появляется постоянно в директории С:\Windows\Temp\
и имеет имя conhoy.exe Прогуглил я это чудо-юду и гугл выдает по типу что это троян.
Все бы ничего, да вот только когда я его удаляю, он вновь создается через некоторое время.
Вопрос следующий - как можно выяснить кто его создает и удалить данное ПО?
---
Прошелся по regedit

Нашлось только вот это вот.

 

[Apocalypse]

Как же ты так погуглил и не погуглил про антивирусы?

 

[DildoFagins]

Запусти Sysinternals Autoruns и поищи в списке (включи проверку цифровых подписей). Судя по тому, что файл появляется в темпе системы, а не пользователя, он скорее всего запускается от системы. Скорее всего какой-то сервис его дропает или WMI-консьюмер, это все должно быть видно в списке Autoruns. MUICache к автозапуску не относится, это - артефакт того, что экзешник был запущен.

 

[return_a]

Как же ты так погуглил и не погуглил про антивирусы?

Кек. Про антивирусы я в курсе. Kaspersky Resque Disk, DrWeb Live Disk и все тому подобное его находит, но после удаления (результат проверки антивирусом ПК после удаления - удовлетворительный) проходит ~12 часов и данный файл появляется вновь.

Я выяснил, что это Trojan.Win32.KELIHOS.B
Изучил батник, который запускает все дела, добавил IP адреса оттуда в hosts, но безрезультатно.

 

[serniy_smerch]

кто вкурсе где такое чудо можно купить?????

 

[DildoFagins]

но после удаления (результат проверки антивирусом ПК после удаления - удовлетворительный) проходит ~12 часов и данный файл появляется вновь

Ну это не является чем-то удивительным, это просто означает, что дроппер, который его постоянно выкладывает, не палится. Антивирусы - странный предмет, нагрузку палят, а дроппер - нет.

Более того, скорее всего эта шняга никаких убер-технологий в себе не несет, так как дропать экзешник в темп и запускать его - далеко не лучший вариант. Можно было бы запустить код в памяти текущего процесса дроппера или проинжектить в какой-то процесс операционной системы. Может это какой-то командлет, который лолбинами выкачивает экзешник с интернета в темп и запускает каждый раз. Но опять же, надо список autoruns'а посмотреть, почти уверен, что дроппер там будет в том или ином виде.

 

[KAJIT]

Антивирусы - странный предмет, нагрузку палят, а дроппер - нет.

лол складна выходит))

Скорее всего какой-то сервис его дропает или WMI-консьюмер

100\100.

 

[Artem N]

ProcessMonitor с фильтром по имени файла или каталога %TEMP% - будет видно кто создал, когда создал.

 

[DildoFagins]

Кстати еще надо в Планировщике посмотреть, я не помню, выводит ли autoruns задачи из планировщика. Для всяких лолбин командлетов это частое место.

 

[Iridium]

Ищи в интернете не по названию файла, а по хэшу.

 

[badcapper]

процесс хакер, вкл мониторинг жесткого диска, ждешь, анализируешь, удаляешь

 

[return_a]

дай хэш файла

65c328dd4da25babe0c8afbca4a0bebf1919899a

 

[return_a]

кто вкурсе где такое чудо можно купить?????

я уверен что его сурсы можно найти в сети. Попробуй просто поискать по Trojan.Win32 ну а дальше все зависит от твоих рук и сообразительности).
Можно модернизировать еще лучше его.

 

[return_a]

Запусти Sysinternals Autoruns и поищи в списке (включи проверку цифровых подписей). Судя по тому, что файл появляется в темпе системы, а не пользователя, он скорее всего запускается от системы. Скорее всего какой-то сервис его дропает или WMI-консьюмер, это все должно быть видно в списке Autoruns. MUICache к автозапуску не относится, это - артефакт того, что экзешник был запущен.

---------------------------
Autoruns64.exe - Порядковый номер не найден
---------------------------
Порядковый номер 45 не найден в библиотеке DLL Cabinet.dll.
---------------------------
ОК
---------------------------

 

[DildoFagins]

Ты на семерке штоль? Попробуй более раннюю версию запустить.

 

[return_a]

вот твой софт: https://www.secrss.com/articles/28744

mykings_bot.zip - то что он может скачать, там и рат и xmr майнер

рекомендую посмотреть индикаторы в wmi.txt и в самой статье, также обрати внимание на другие статьи по этому ботнету(вдруг что)

Спойлер: некоторые запросы

http://103.124.105.246/pld/cmd.txt ==>

    http://155.94.228.223/upsupx2.exe|C:\windows\Temp\conhoy.exe|0
    http://104.233.207.172:8172/wmi.txt|C:\windows\Temp\wmia.bat|1
    http://104.233.207.172:8172/u.exe|C:\windows\Temp\u.exe|1
    http://137.175.56.104/ntuser.rar|C:\windows\Temp\ntuser.dat|0
    http://104.233.207.172:8172/0925.rar|c:\windows\inf\aspnet\lsma12.exe|0
    http://137.175.56.104/20201117.rar|c:\windows\debug\item.dat|0

http://103.124.105.246/pld/login.aspx?uid=0 ==>
    194.99.105.243

http://172.83.155.170/ups.html ==>
    104.37.187.182

Спасибо огромное за информацию!
Сейчас буду изучать и пытаться его удалить.

 

[return_a]

вот твой софт: https://www.secrss.com/articles/28744

mykings_bot.zip - то что он может скачать, там и рат и xmr майнер

рекомендую посмотреть индикаторы в wmi.txt и в самой статье, также обрати внимание на другие статьи по этому ботнету(вдруг что)

Спойлер: некоторые запросы

http://103.124.105.246/pld/cmd.txt ==>

    http://155.94.228.223/upsupx2.exe|C:\windows\Temp\conhoy.exe|0
    http://104.233.207.172:8172/wmi.txt|C:\windows\Temp\wmia.bat|1
    http://104.233.207.172:8172/u.exe|C:\windows\Temp\u.exe|1
    http://137.175.56.104/ntuser.rar|C:\windows\Temp\ntuser.dat|0
    http://104.233.207.172:8172/0925.rar|c:\windows\inf\aspnet\lsma12.exe|0
    http://137.175.56.104/20201117.rar|c:\windows\debug\item.dat|0

http://103.124.105.246/pld/login.aspx?uid=0 ==>
    194.99.105.243

http://172.83.155.170/ups.html ==>
    104.37.187.182

Так файлы все эти я удалил и поставил фильтр в ProcessMonitor на conhoy.exe
Друг мне говорил что программа появляется раз в 3 часа, что подтверждает статья.
Я изучил момент создания по PM и первоначальное упоминание идет в описании команды PowerShell (что так же было описано в статье в пункте )
Вот скрин результатов ProcessMoitor

Теперь задача вычислить какой именно сервис/WMI
Как это можно сделать и будет ли данное действие иметь силу для удаления вируса?

 

[return_a]

StuartLittle вот

 

[return_a]

путь обрезан, сделай консоль шире и проверь, чтобы путь полностью был

Консоль шире не раскрывается в связи с разрешением экрана.
Попробовал вот так вот сделать оставив только имя и путь
Могу сделать только путь

 

[return_a]

путь обрезан, сделай консоль шире и проверь, чтобы путь полностью был

Вот чисто пути