Firma Symantec wychwyciła przez swoje systemy IPS trojana komputerowego Adylkuzz, który wykorzystuje tą samą lukę (MS17-010) co WannaCry w protokole SMB w wersji pierwszej. Na razie z zaobserwowanych 44 milionów prób użycia podatności MS17-10, tylko 200 komputerów zostało zainfekowanych szkodnikiem Adylkuzz.
Celem szkodliwego oprogramowania Adylkuzz jest kopanie kryptowaluty Monero. W systemie instalowany jest program „cpuminer”, a operacje wydobywania Monero jawią się wyraźnym obciążeniem procesora. Oczywiście przekłada się to na poważne problemy z wydajnością.
Do zweryfikowania bezpieczeństwa komputerów zalecamy przeskanowanie całego systemu operacyjnego jednym ze skanerów znajdujących się w czołówce naszych testów, a także skorzystanie z programu Process Monitor, który wygeneruje „tony” zdarzeń systemowych bajt po bajcie na domyślnych ustawieniach filtra. Przeszukanie logów pod kątem konkretnych ciągów znaków może uwidocznić infekcję:
Trojan tworzy nowe pliki:
%ProgramFiles%Hardware Driver Managementwindriver.exe %Windir%Fontswuauser.exe
Pobiera kolejne do lokalizacji:
%ProgramFiles%Microsoft.NETPrimary Interop AssembliesLMS.dat %Windir%Fontsmsiexev.exe
Uruchamia usługi:
WHDMIDE WELM
Zapisuje logi:
%Temp%[RANDOM CHARACTERS]._Miner_.log
Więcej szczegółów technicznych m.in. o komunikacji sieciowej udostępnił Symantec.
Protokół w wersji SMBv1 warto wyłączyć (zobacz jak to zrobić), skorzystać z nowszego rozwiązania lub alternatywnych aplikacji podobnego typu. Z pewnością exploit EternalBlue wykorzystywany przez NSA (i który dostał się do sieci) zostanie wykorzystany jeszcze na wiele sposobów.
