Тема: Попытки несанкционированной отправки информации о конфигурации ПК
Добрый день, коллеги!
В ходе мониторинга интернет-трафика была выявлена попытка несанкционированной передачи информации о конфигурации ПК на внешние ресурсы в сети Интернет: bloombergloop.biz, mrfranklin.us, mrwashington.eu, uorenbuffets.com и wizardtesla.com. Все указанные ресурсы зарегистрированы менее чем 3 месяца назад.
Во всех выявленных случаях информация направлялась в архиве с именем "1.zip", содержащим два текстовых файла «ProcList.txt»(список выполняемых процессов на ПК) и «Programs.txt»(список ярлыков в папке «%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs» и список файлов Рабочего стола).
Попытка отправки была осуществлена единожды, затем зараженные ПК стали производить попытки обращения к указанным сайтам каждые 9 минут.
Антивирусная проверка зараженных компьютеров штатным антивирусом результатов не дала. Провели проверку утилитами Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner и Malwarebytes, все чисто.
Проведя детальный мониторинг трафика и процессов на зараженных ПК, удалось выяснить последовательность действий. Сначала по протоколу MIME создается почтовое сообщение, далее по протоколу HTTP созданное сообщение передается на указанные внешние ресурсы.
Процесс-инициатор отследить netstat`ом не удалось, т.к. это протоколы MIME и HTTP. Поставили бесплатный файервол Комодо и запретили ему что-либо делать без разрешения, однако сообщения все-равно проходят. Предположу, что инициатором является системный процесс.
Локально решили проблему форматированием и полной переустановкой, тем не менее прецедент считаю любопытным.