지난 주 동안 Windows Defender로부터 다음 알림을 여러 번 받았습니다.
내가 믿는 것:
- 악성코드입니다
- Windows Defender에서 항목을 숨기려고 합니다.
- Windows Defender는 해당 작업을 허용하지 않는 것 외에는 아무것도 할 수 없습니다.
실제로 이 명령을 실행하는 것이 무엇인지 알아내는 등 이를 추가로 조사하려면 어떻게 해야 합니까?
또한 "자세히 알아보기" 링크를 읽고 Kaspersky의 맬웨어 방지 도구를 설치해 보았지만 문제를 인식하지 못하는 것 같았습니다.
나중에 이 항목을 검색할 수 있는 사람들을 위한 알림 텍스트 중 일부는 다음과 같습니다.
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
답변1
여기서도 같은 문제가 발생합니다! 많은 VM이 감염되었습니다(DC 및 하이퍼바이저도 마찬가지). Windows Defender는 프로세스를 탐지하고 중지하지만 공격자를 탐지하지는 않습니다. Kaspersky 랜섬웨어 방지 도구는 trojan.win32.bazon.a 및 trojan.win32.genautorunserviceimagepath.a라는 두 가지 유형의 감염을 탐지합니다.
모든 버전의 Windows Server가 이 문제의 영향을 받습니다. 작업 관리자 CPU 사용량은 많은 Powershell 작업에서 100%로 표시됩니다. 프로세스를 종료하는 것은 쉽습니다.
Windows 자동 시작 메뉴'에서 "cmd.bat"를 발견했고 C:\Windows\System32\WindowsPowerShell\v1.0\에서 powershell 스크립트를 찾았습니다.
당신을 도울 수 있기를 바랍니다!