Bitcoinvirus, var kom det ifrån och är det borta

Trädvy Permalänk
Medlem
Registrerad
Sep 2011

Bitcoinvirus, var kom det ifrån och är det borta

Min sambos dator ville inte stänga av sig i förrgår när hon skulle gå från jobbet, hon lämnade den på och tänkte att den stänger väl ner sig när den är färdig med vad den nu ville bli klar med. När hon kom till jobbet i går morse så var den fortfarande på och körde med fläkten i fullt blås. Hon kollade då med Aktivitetshanteraren för att se vad som orsakade det hela, men varje gång hon försökte kolla så gick aktiviteten ner för att sedan starta så fort hon stängde Aktivitetshanteraren. På inrådan från mig så installerade hon Process Explorer eftersom jag genom ett lite googlande fick fram att det kunde fånga upp program som bevakar om Aktivitetshanteraren körs.

Process Explorer kunde då visa boven:

Verkar vara en snubbe i Ukraina om man slår upp adressen som finns på kommandoraden via WhoIs.

Programmet ligger här på disken under aktuell användare:

I biblioteket ovanför så ligger den exe som startar cpu.exe, vi tog bort dessa båda bibliotek och iom detta så beter sig datorn normalt.

MBAM såg själva cpu.exe som ett riskprogram och klassificerade det som en bitcoin miner, jag har även kollat filerna via usbminne på lite andra datorer men inga antivirus varnar för dom...

Frågan är om detta ska skickas till antivirusföretagen eller nåt, är datorn vidöppen eller vad ska man tro?

Trädvy Permalänk
Medlem
Plats
Рос&#10
Registrerad
Nov 2011

Klart du kan anmäla det.

Det jag tycker är mer intressant är hur de fick in programmet, och vad det faktiskt gör. Om det är en bitcoinminer så sitter ukrainaren antagligen på en jävla massa datorer som minar för han!

Edit: Det var alltså inget antivirus som reagerade på det? Problemet med att bara "ta bort" mappen, så kvarstår ju frågan om hur det installerades, och samtidigt så återstår risken för att det dyker upp igen.

Node 804 | CPU: i7 4770k | RAM: Corsair vengeance LP 16gb | GPU: MSI GTX 780 SLi | MB: ROG Maximus VII Gene |
Node 304 | CPU: G3258 | RAM: HyperX 8gb | GPU: Nvidia GTX Asus 750Ti | MB: MSI Z97i-AC |

Trädvy Permalänk
Medlem
Registrerad
Sep 2011

Vi har försökt kolla vad som hände på datorn vid den aktuella tidpunkten (2014-04-01 11:39) eller strax innan men inte hittat något, ska testa och köra en sökning i felsäkert läge ikväll.

-edit stavfel -

Trädvy Permalänk
Hedersmedlem
Plats
Malmö
Registrerad
Apr 2007

Med tanke på katagligplaceringen av exefilen så är det högst sannolikt att det kom in via webbläsaren.
Någon svaghet i flash eller nå illasinnat javascript är väl de två mest troliga bovarna.

All skit från webläsaren lägger sig där (i stort sätt).

Vill ni gräva mer så kan ni ta er en titt i tempkatalogen för webläsaren för detta klockslag.

Bränsleförbrukning kan uttryckas i liter/mil.
Bränsleförbrukning kan också uttryckas som kubikdecimeter/mil eller kubikmeter/meter om man vill hålla sig till SI-enheter. Alltså m³/m.
m³/m = m²
Bränsleförbrukning kan alltså uttryckas i kvadratmeter...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2011

Tråden http://www.bleepingcomputer.com/forums/t/529686/computer-stop... verkar handla om en dator men en mycket likartad infektion. På slutet av loggen kan man se att de första skadliga filerna (stub.exe) kom in redan 26 mars medan de som gör själva jobbet (cpu.exe) skapades först den 31 mars så du behöver kolla flera dagar innan för att vara säker.

Den datorn har även mappen C:\Users\"anv.namn"\AppData\Roaming\Updater som skapades samtidigt med cpu.exe så du bör kolla upp om du har den mappen också och i så fall vad den innehåller.

Om man laddar upp filer på https://www.virustotal.com/ och minst ett av programmen där, t ex MBAM, anser att det är skadligt kommer filen att skickas till de andra deltagande företagen för undersökning, så det är ett bra sätt att få en skadlig fil känd.

Trädvy Permalänk
Medlem
Registrerad
Feb 2008

Alternativt att någon på företaget själv lagt in det på alla jobbets datorer för att tjäna en hacka?

i7 6700K - EVGA 980 Ti SC+ - Acer XB271HU / Qnix 2710
EVGA Supernova G2 850 - Samsung 850 EVO 500 GB - ASUS Z170 Pro Gaming
Fidelio X2 - Blue Snowball

Trädvy Permalänk
Medlem
Registrerad
Sep 2011
Skrivet av CeciliaB:

Den datorn har även mappen C:\Users\"anv.namn"\AppData\Roaming\Updater som skapades samtidigt med cpu.exe så du bör kolla upp om du har den mappen också och i så fall vad den innehåller.

Om man laddar upp filer på https://www.virustotal.com/ och minst ett av programmen där, t ex MBAM, anser att det är skadligt kommer filen att skickas till de andra deltagande företagen för undersökning, så det är ett bra sätt att få en skadlig fil känd.

Tack för förslagen, Updater fanns och nu får man lite tips om vilket Antivirus man borde ha, filerna var kända på virustotal men bara några få antivirus verka reagera...

Trädvy Permalänk
Medlem
Plats
Gävle
Registrerad
Jan 2014

Kan inte annat än att bli imponerad av kreativiteten, om det blir stor spridning på det så blir det nog en hel del kulor.

¯\_(Ó.ò)_/¯

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2011
Skrivet av MumboJumboMike:

Tack för förslagen, Updater fanns och nu får man lite tips om vilket Antivirus man borde ha, filerna var kända på virustotal men bara några få antivirus verka reagera...

Man kan ju inte gå på bara en infektion, nästa gång kan ju datorn drabbas av något helt annat.

Trädvy Permalänk
Medlem
Registrerad
Sep 2011
Skrivet av CeciliaB:

Man kan ju inte gå på bara en infektion, nästa gång kan ju datorn drabbas av något helt annat.

Nä så är det nog, jag som trodde jag hittat en genväg.

Har inte haft virus sen den tiden man höll på med wares (tror/hoppas jag).

Trädvy Permalänk
Medlem
Registrerad
Sep 2011

Har inte helt fått bort det helt än verkar det som. Då och då poppar nedanstående ruta upp för henne:

Är det nån som vet hur jag ska hitta vad det är som vill ladda in det igen, har testat att söka efter det i regedit utan resultat.

Trädvy Permalänk
Medlem
Plats
Halmstad
Registrerad
Apr 2012

Nu har jag ingen aning om exakt var filen ligger/vad som får in skiten, eller om detta kommer hjälpa, men programmet ComboFix brukar lösa rätt mycket allmänt skit och illabådande filer. (Bara googla ComboFix, ladda ner från Bleeping Computers) Testa iallafall

FD R4 /// Asus Z87-K med i5 3.4Ghz 4670K (OC ska ske sen) ///Msi 760 Gaming ed. /// 1x 8Gb Corsair XMS3 /// Nexus N-500 Agg /// <<Citera för svar! >>

Trädvy Permalänk
Medlem
Registrerad
Sep 2011
Skrivet av Vaun:

Kan inte annat än att bli imponerad av kreativiteten, om det blir stor spridning på det så blir det nog en hel del kulor.

1.000.000 infekterade datorer borde bli ca 180 dollar om dagen.
1.000.000 låter mycket och 180 dollar låter lite

Burk: MB MSI MPOWER CPU Delid 4790k @ 5Ghz Kyl NZXT Kraken X61 RAM 32GB @ 2400Mhz Låda Jonsbo W2 Silver SSD 512GB Samsung EVO850 SSD 256 GB Samsung EVO840 SSD 128GB Samsung EVO840 GPU Palit Gamerock (Premium bios flashad) GTX 1080 Kringutrustning: Skärmar Asus PB278Q + 2st Benq GW225S DAC AudioEngine D1 Lurar Beyerdynamic DT770 Mus Logitech G403 Wireless KB Logitech G810 Skärmstativ ARCTIC COOLING Arctic Z3 Mic Antlion Modmic V4 AMP FX-Audio FX502A Pro

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2011
Skrivet av MumboJumboMike:

Har inte helt fått bort det helt än verkar det som. Då och då poppar nedanstående ruta upp för henne:

http://i62.tinypic.com/2ykjtsi.jpg

Är det nån som vet hur jag ska hitta vad det är som vill ladda in det igen, har testat att söka efter det i regedit utan resultat.

Vi kan ju se om en FRST-logg visar något:
Ladda ner Farbar Recovery Scan Tool (FRST) och spara på skrivbordet.
För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe
För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe

Starta FRST.
Läs villkoren för programmet.
Klicka på Yes för att acceptera.
Klicka på Scan-knappen.
När det är klart kommer det att ha skapats två loggar FRST.txt och Addition.txt på skrivbordet.
Klistra in innehållet i de två loggarna direkt i ditt svar men använd SPOILER-taggen/funktionen runt loggarna så att inlägget inte ser så långt ut (vissa gillar inte att skrolla så mycket).