先週、Windows Defender から次の通知を数回受け取りました。
私が信じていること:
- それはマルウェアです
- Windows Defenderから情報を隠そうとしている
- Windows Defenderは、アクションを禁止する以外に何もできませんでした。
このコマンドを実際に実行しているものが何であるかを調べるなど、これをさらに調査するにはどうすればよいでしょうか?
「詳細」リンクを読んで、カスペルスキーのマルウェア対策ツールをインストールしてみましたが、問題は認識されていないようでした。
将来これを検索する可能性のある人のために、アラートのテキストの一部を次に示します。
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
答え1
ここでも同じ問題です。多数の VM が感染しています (DC とハイパーバイザーも)。Windows Defender はプロセスを検出して停止しますが、攻撃者は検出しません。Kaspersky のランサムウェア対策ツールは、trojan.win32.bazon.a と trojan.win32.genautorunserviceimagepath.a の 2 種類の感染を検出します。
Windows Server のすべてのバージョンがこの問題の影響を受けます。タスク マネージャーの CPU 使用率は、多くの PowerShell タスクで 100% と表示されます。プロセスを簡単に強制終了できます。
Windows の自動スタート メニューに「cmd.bat」が見つかり、C:\Windows\System32\WindowsPowerShell\v1.0\ に PowerShell スクリプトが見つかりました。
お役に立てれば幸いです!