Identificare Potențial Virus - Ajutor Necesar
Salut Comunitatea Bitdefender,
În timpul verificării calculatorului meu, am descoperit un proces suspect care nu este vizibil în Task Manager, însă am reușit să-l identific utilizând Programul Process Explorer de la Sysinternals. Detaliile despre acest proces sunt prezentate în imaginea numărul 1.
La inspectarea caracteristicilor acestui proces, am descoperit mai multe informații, inclusiv conexiuni TCP/IP, prezentate în imaginea numărul 2. În timpul deschiderii procesului, am întâmpinat diverse probleme, iar în cele din urmă, am obținut informații suplimentare, prezentate în imaginile 3 și 4.
În căutarea informațiilor despre acest posibil virus, am găsit doar un articol scris cu doar 2 luni în urmă, care indică faptul că acest proces este, într-adevăr, un virus, și că nu este detectat de soluțiile antivirus ca atare. Cu toate acestea, la scanarea calculatorului meu cu VirusTotal și Malwarebytes, Bitdefender nu a identificat acest proces ca fiind un virus.
Am reușit să creeze un dump de fișier specific pentru acest proces (în întregime nu a fost posibil), și îl voi atașa la acest mesaj (Windows Driver Foundation (WDF).dmp).
În imaginile 5-6, se poate observa că acest fișier este detectat de Total Commander, dar este imposibil de găsit.
Aș aprecia foarte mult orice sfat sau asistență pe care comunitatea o poate oferi în privința identificării.
Mulțumesc anticipat,
Comentarii
-
Aici puteți vedea o parte din log fișierul a acestui process care l-am găsit după ceva timp
.
1 -
Am încercat să schimb email-ul din сonfig fișierul care l-am găsit la care s-a primit
1 -
- Schimbare de Limbă:
- 2023-11-18T13:47:19+02:00 | "--- Limba schimbată în engleză"
- 2023-11-18T13:47:19+02:00 | "--- Limba schimbată în rusă"
- Se pare că aplicația își schimbă setarea de limbă în timpul execuției.
- Probleme de Încărcare a Imaginilor:
- 2023-11-18T13:47:19+02:00 | qrc:/qml/HeaderLogo.qml:27:9: QML Image: Cannot open: qrc:/images/Logo.p.g
- Există o problemă cu încărcarea unei imagini (
Logo.p.g
) în fișierul QML (HeaderLogo.qml
). Aceasta ar putea fi cauzată de neexistența fișierului sau de o problemă de format. - Informații OpenGL:
- Informații despre setările OpenGL, vânzător, renderer, versiune, extensii, etc.
- Inițializare:
- 2023-11-18T13:47:19+02:00 | main: "Init crush report after QML engine init."
- 2023-11-18T13:47:19+02:00 | main: "check crushes enable. crush path: C:/Users/user/AppData/Local/EmailSender/Runtime Net/cache/crushes"
- 2023-11-18T13:47:19+02:00 | main: "Init complete"
- Etapele de inițializare, inclusiv inițializarea raportului de avarii, verificarea avariilor activate și finalizarea inițializării.
- Validare Utilizator:
- 2023-11-18T13:47:19+02:00 | Utils::validateUser : User(email): "Email meu"
- 2023-11-18T13:47:19+02:00 | Utils::validateUser : Valid.
- Aplicația validează un utilizator cu adresa de e-mail "Email meu" și confirmă că utilizatorul este valid.
- Verificare Actualizări:
- 2023-11-18T13:47:19+02:00 | "BagentWorker" : "try check update"
- 2023-11-18T13:47:19+02:00 | "API" : "Qt API: Network Error:5 Operation canceled: error: Eroare anulată"
- 2023-11-18T13:47:19+02:00 | "BagentWorker" : "need restart"
- Aplicația încearcă să verifice actualizări, dar se confruntă cu o eroare de rețea și sugerează o repornire.
- Cerere de Configurație:
- 2023-11-18T13:47:21+02:00 | "BAgentController" : "Cerere de configurație."
- 2023-11-18T13:47:23+02:00 | "API" : "Curl API: getCfg: Result: { "status": "FAIL", "error": "UserNotFoundOrBanned" }"
- Aplicația face o cerere pentru informații de configurare, dar eșuează cu o eroare care indică că utilizatorul nu a fost găsit sau este interzis.
- Gestionare Erori:
- 2023-11-18T13:47:23+02:00 | guiController: onSetBagentStatus. state: 0 msg: Eroare la obținerea configurației. Server: UserNotFoundOrBanned
- Eroarea în obținerea configurației este gestionată, iar un mesaj de eroare este furnizat.
- Evenimente Următoare:
- Evenimentele ulterioare implică stabilirea timpului de așteptare, actualizarea stării aplicației și încercări suplimentare de a solicita configurația.
- Interacțiune cu Utilizatorul:
- 2023-11-18T13:47:37+02:00 | main: "From QML onCancelHideWindow"
- Interacțiunea utilizatorului cu aplicația este înregistrată, în special legată de anularea ascunderii unei ferestre.
- Repetare a Cererilor de Configurație:
- Aplicația continuă să încerce cereri de configurare cu erori similare.
1 - Schimbare de Limbă:
-
Concluzie: Este vorba despre un miner care nu este detectat de nicio soluție antivirus în prezent, însă token-ul pe care l-am găsit în el există în baza de date încă din 2020, fiind inițial asociat cu o altă aplicație. Am încercat să fac cereri către el folosind POSTman, dar am primit o eroare de sistem de operare.
Am identificat procesul în mod similar urmărind programul de proveniență. În cele din urmă, am găsit o metodă de a schimba adresa de email asociată cu acesta. Concluziv, am localizat fișierul de loguri pentru acest proces la
C:\Users\user\AppData\Local\EmailSender (această director nu putea fi accesat decât prin intermediul comenzilor din cmd, deoarece nu apărea în Total Commander, etc.)
Ulterior, am examinat apelurile API către api.peer2profit.global și am înțeles că este doar un miner de trafic și nu copiază nicio informație din calculator.
PS: La final, am descoperit aplicația Procmon de la Microsoft, care mi-a permis să efectuez toate aceste operațiuni în câteva minute în loc de ore.
1 -
Salut @Alifa23,
Multumim pentru informatiile cuprinzatoare pe care ni le-ai impartasit aici. 🙂
Recomand rularea utilitarului de scanare BDsysLog, fiindca astfel se poate crea un jurnal care poate fi trimis ulterior echipelor de asistenta anti-malware, in vederea unei investigari amanuntite a informatiilor disponibile.
BDsys este un instrument de analiza malware creat de laboratoarele Bitdefender. Acesta efectueaza o scanare in profunzime a zonelor critice de sistem, pentru a permite expertilor in securitate sa identifice amenintarile malware evazive si necunoscute de pe dispozitiv.
Cu stima,
Alexandru
Premium Security & Bitdefender Endpoint Security Tools user
0
Liderul tuturor timpurilor
Categorii de discuții
- Toate Categoriile
- 2 Știri și bloguri
- 10 Subiecte generale
- 2 Securitate pentru companii
- 4 Sugestii și idei pentru produse
- 12 Alte produse și servicii
- 19 Central & Abonamente
- 15 VPN
- 14 Mobile Security
- 2 Mac
- 39 Windows
- 1.3K Protectie utilizatori individuali
- 949 Arhiva
- 199 Discu355ii generale
- 199 Discu355ii malware
- 6 Discu355ii spam 351i phishing
- 58 Produse
- 49 Sta355ii de lucru
- 1 Unix
- Servere windows
- 3 Protec355ie enterprise
- 5 Mobile
- 487 350tiri