Identificare Potențial Virus - Ajutor Necesar

Salut Comunitatea Bitdefender,

În timpul verificării calculatorului meu, am descoperit un proces suspect care nu este vizibil în Task Manager, însă am reușit să-l identific utilizând Programul Process Explorer de la Sysinternals. Detaliile despre acest proces sunt prezentate în imaginea numărul 1.

La inspectarea caracteristicilor acestui proces, am descoperit mai multe informații, inclusiv conexiuni TCP/IP, prezentate în imaginea numărul 2. În timpul deschiderii procesului, am întâmpinat diverse probleme, iar în cele din urmă, am obținut informații suplimentare, prezentate în imaginile 3 și 4.

În căutarea informațiilor despre acest posibil virus, am găsit doar un articol scris cu doar 2 luni în urmă, care indică faptul că acest proces este, într-adevăr, un virus, și că nu este detectat de soluțiile antivirus ca atare. Cu toate acestea, la scanarea calculatorului meu cu VirusTotal și Malwarebytes, Bitdefender nu a identificat acest proces ca fiind un virus.

Am reușit să creeze un dump de fișier specific pentru acest proces (în întregime nu a fost posibil), și îl voi atașa la acest mesaj (Windows Driver Foundation (WDF).dmp).

În imaginile 5-6, se poate observa că acest fișier este detectat de Total Commander, dar este imposibil de găsit.

Aș aprecia foarte mult orice sfat sau asistență pe care comunitatea o poate oferi în privința identificării.

1.png

2.png

3.png

4.png

5.png

6.png

Mulțumesc anticipat,

Găsiți mai multe postări etichetate cu

Virus Scanner

remove virus

antivirus

virus

Comentarii

Alifa23

Aici puteți vedea o parte din log fișierul a acestui process care l-am găsit după ceva timp

Log process file .txt

Alifa23

Am încercat să schimb email-ul din сonfig fișierul care l-am găsit la care s-a primit

Alifa23

Schimbare de Limbă:
- 2023-11-18T13:47:19+02:00 | "--- Limba schimbată în engleză"
- 2023-11-18T13:47:19+02:00 | "--- Limba schimbată în rusă"
Se pare că aplicația își schimbă setarea de limbă în timpul execuției.
Probleme de Încărcare a Imaginilor:
- 2023-11-18T13:47:19+02:00 | qrc:/qml/HeaderLogo.qml:27:9: QML Image: Cannot open: qrc:/images/Logo.p.g
Există o problemă cu încărcarea unei imagini (Logo.p.g) în fișierul QML (HeaderLogo.qml). Aceasta ar putea fi cauzată de neexistența fișierului sau de o problemă de format.
Informații OpenGL:
- Informații despre setările OpenGL, vânzător, renderer, versiune, extensii, etc.
Inițializare:
- 2023-11-18T13:47:19+02:00 | main: "Init crush report after QML engine init."
- 2023-11-18T13:47:19+02:00 | main: "check crushes enable. crush path: C:/Users/user/AppData/Local/EmailSender/Runtime Net/cache/crushes"
- 2023-11-18T13:47:19+02:00 | main: "Init complete"
Etapele de inițializare, inclusiv inițializarea raportului de avarii, verificarea avariilor activate și finalizarea inițializării.
Validare Utilizator:
- 2023-11-18T13:47:19+02:00 | Utils::validateUser : User(email): "Email meu"
- 2023-11-18T13:47:19+02:00 | Utils::validateUser : Valid.
Aplicația validează un utilizator cu adresa de e-mail "Email meu" și confirmă că utilizatorul este valid.
Verificare Actualizări:
- 2023-11-18T13:47:19+02:00 | "BagentWorker" : "try check update"
- 2023-11-18T13:47:19+02:00 | "API" : "Qt API: Network Error:5 Operation canceled: error: Eroare anulată"
- 2023-11-18T13:47:19+02:00 | "BagentWorker" : "need restart"
Aplicația încearcă să verifice actualizări, dar se confruntă cu o eroare de rețea și sugerează o repornire.
Cerere de Configurație:
- 2023-11-18T13:47:21+02:00 | "BAgentController" : "Cerere de configurație."
- 2023-11-18T13:47:23+02:00 | "API" : "Curl API: getCfg: Result: { "status": "FAIL", "error": "UserNotFoundOrBanned" }"
Aplicația face o cerere pentru informații de configurare, dar eșuează cu o eroare care indică că utilizatorul nu a fost găsit sau este interzis.
Gestionare Erori:
- 2023-11-18T13:47:23+02:00 | guiController: onSetBagentStatus. state: 0 msg: Eroare la obținerea configurației. Server: UserNotFoundOrBanned
Eroarea în obținerea configurației este gestionată, iar un mesaj de eroare este furnizat.
Evenimente Următoare:
- Evenimentele ulterioare implică stabilirea timpului de așteptare, actualizarea stării aplicației și încercări suplimentare de a solicita configurația.
Interacțiune cu Utilizatorul:
- 2023-11-18T13:47:37+02:00 | main: "From QML onCancelHideWindow"
Interacțiunea utilizatorului cu aplicația este înregistrată, în special legată de anularea ascunderii unei ferestre.
Repetare a Cererilor de Configurație:
- Aplicația continuă să încerce cereri de configurare cu erori similare.

Alifa23

Concluzie: Este vorba despre un miner care nu este detectat de nicio soluție antivirus în prezent, însă token-ul pe care l-am găsit în el există în baza de date încă din 2020, fiind inițial asociat cu o altă aplicație. Am încercat să fac cereri către el folosind POSTman, dar am primit o eroare de sistem de operare.

Am identificat procesul în mod similar urmărind programul de proveniență. În cele din urmă, am găsit o metodă de a schimba adresa de email asociată cu acesta. Concluziv, am localizat fișierul de loguri pentru acest proces la

C:\Users\user\AppData\Local\EmailSender (această director nu putea fi accesat decât prin intermediul comenzilor din cmd, deoarece nu apărea în Total Commander, etc.)

Ulterior, am examinat apelurile API către api.peer2profit.global și am înțeles că este doar un miner de trafic și nu copiază nicio informație din calculator.

PS: La final, am descoperit aplicația Procmon de la Microsoft, care mi-a permis să efectuez toate aceste operațiuni în câteva minute în loc de ore.

Alexandru_BD

Salut @Alifa23,

Multumim pentru informatiile cuprinzatoare pe care ni le-ai impartasit aici. 🙂

Recomand rularea utilitarului de scanare BDsysLog, fiindca astfel se poate crea un jurnal care poate fi trimis ulterior echipelor de asistenta anti-malware, in vederea unei investigari amanuntite a informatiilor disponibile.

https://www.bitdefender.ro/consumer/support/answer/21837/

BDsys este un instrument de analiza malware creat de laboratoarele Bitdefender. Acesta efectueaza o scanare in profunzime a zonelor critice de sistem, pentru a permite expertilor in securitate sa identifice amenintarile malware evazive si necunoscute de pe dispozitiv.

Cu stima,

Alexandru