dpolal Δημοσ. 27 Οκτωβρίου 2021 Δημοσ. 27 Οκτωβρίου 2021 Βοηθώντας μία συνάδερφο επειδή είχε κολλήσει το excel στον υπολογιστή της παρατήρησα μία διεργασία που έτρεχε στο background και έτρωγε σχεδόν το 90% των resources. Συγκεκριμένα ένα αρχείο ονόματι Protect worker. Ψάχνωντας διαπίστωσα ότι στις λήψεις είχε κατέβει ένα αρχείο ονόματι : YiLu-x64-1.9.1.exe το οποίο είχε εγκατασταθεί κανονικά στον φάκελο Program Files/YiLy και εκτελούσε το protect.exe που ήταν η διεργασία που ανακάλυψα. Ψάχνωντας παραπάνω το εν λόγο αρχείο σχετίζεται με κάποιο site ονόματι yiluzhuanqian και από τις λίγες αναφορές που υπάρχουν διαπίστωσα ότι πρόκειτε για cryptomining bot. Το θέμα είναι ότι ο εν λόγο Η/Υ μένει συνέχεια ανοικτός λόγο ανάγκης και φυσική πρόσβαση έχει μόνο η συνάδερφος. Tο πρόβλημα που με απασχολεί είναι πώς κατέβηκε και εγκαταστάθηκε το bot καθώτι η συνάδερφος δεν είναι παντελώς άσχετη και γενικά προσέχει. Υπάρχει περίπτωση να απέκτησε κάποιος απομακρυσμένη πρόσβαση στο μηχάνημα και να το εγκατέστησε ;; Δεν ήταν κρυμμένο σαν εφαρμογή και μπόρεσα να το απεγκαταστήσω εύκολα, ενώ μετά βρήκα και διέγραψα όλες τις καταχωρήσεις στον δίσκο και την registry. To antivirus δεν έδειξε κάτι. https://www.joesandbox.com/analysis/416246/0/html#deviceScreen
.thumb.jpg.2c46b079a3b69220119fc1d896475daa.jpg)
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα