Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.
Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.
В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.
Интересно? Давайте разбираться вместе.
Впервые это вредоносное программное обеспечение было замечено в мае. Цепочка заражения начинается после того, как пользователь запускает вредоносный файл с именем TiWorker.exe
. Этот файл маскируется под легитимный системный процесс, отвечающий за установку модулей Windows и обновлений операционной системы. Вредоносный процесс TiWorker
запускает PowerShell
и скачивает с С2‑сервера модули для дальнейших стадий атаки, одним из которых является kill.png.
Примечательно, что для затруднения анализа применяются как типичные подходы в виде кодирования Base64 и сжатия, так и более экзотические — распаковка и выполнение вредоносного кода сразу в виртуальной памяти процесса PowerShell
. Так, модуль kill.png представляет собой обфусцированный PowerShell-скрипт
, который после декодирования обращается к WinAPI-функции VirtualAlloc
для выделения памяти, копирует туда шеллкод и запускает его. Все это происходит без сохранения файлов на диск.
Сам шеллкод имеет несколько стадий работы.
Во-первых, это получение адресов API‑функций по хеш-значениям, необходимых для работы шеллкода, которые указаны во внутренней структуре данных по адресу 169F26F00005
.
Во-вторых, патчинг функций встроенных механизмов безопасности, чтобы они не могли обнаружить угрозу. Модификация затрагивает Antimalware Scan Interface (AMSI) и Windows Lockdown Policy (WLDP). AMSI выявляет вредоносное программное обеспечение по сигнатурам, а WLDP проверяет цифровую подпись динамического кода для блокировки потенциально нежелательного программного обеспечения, запускаемого из памяти. Всего модифицируется четыре функции:
AMSI!AmsiScanString — сканирует переданную строку.
AMSI!AmsiScanBuffer — сканирует переданный буфер.
WLDP!WldpIsClassInApprovedList — проверяет, разрешен ли вызов COM-объекта, по идентификатору класса.
WLDP!WldpQueryDynamicCodeTrust — проверяет, разрешен ли код для выполнения, согласно заданной политике Device Guard.
В-третьих, расшифрование встроенной DLL-библиотеки, формирование таблицы импорта и маппинг ее в памяти вручную. Такой подход называется Reflective DLL Injection. В этой расшифрованной библиотеке и содержится интересующий нас список названий средств защиты, которые принудительно завершаются ВПО.
Такая возможность возникает из-за применения техники BYOVD и скачивания на предыдущих этапах двух уязвимых драйверов — aswArPots.sys и IObitUnlockers.sys. Уязвимости в этих драйверах относятся к классу LPE и позволяют от имени непривилегированного пользователя завершать процессы и удалять файлы (для этого нужны расширенные права доступа).
В ходе разбора удалось установить, что в основе работы шеллкода лежит проект Donut. Это было выявлено по аргументам, по тому, какими по счету они передаются в функции, по смысловому назначению этих функций и их расположению относительно друг друга. Для сравнения — ниже скриншоты кода после импорта структур и некоторых переименований.
Можно выделить следующие отличия от кода в паблике:
удалены выводы отладочных строк;
функции для работы с ETW не модифицируются;
структура
PDONUT_INSTANCE
(которая расположена по адресу169F26F00005
и упоминается в самом начале статьи) содержит изменения, поэтому некоторые поля на скриншотах отображаются неверно.
Теперь рассмотрим, как ВПО обнаруживается MaxPatrol EDR.
Благодаря гибкой настройке и постоянному обновлению индикаторов компрометации модуль проверки файлов по хеш‑значениям (file_hash_checker
) обнаруживает ВПО на самом раннем этапе заражения.
Далее происходит автореагирование: вредоносный файл удаляется.
Для дальнейшей демонстрации я намеренно отступлю от best practices в настройке политики обнаружения и реагирования: выключу удаление файлов и завершение подозрительных процессов.
Как и ранее, происходит детект по хеш-сумме файла.
Далее видим закрепление в системе путем создания запланированной задачи defaultbrowserupdate.
Отмечаем обращение к С2-серверу для скачивания модулей.
Можно вручную отреагировать на это событие и, например, изолировать устройство.
Кроме того, в параметрах политики безопасности можно добавить адрес в модуль «Блокировка по IP-адресу». В результате, если под атаку попадут другие компьютеры, система защиты будет проактивно блокировать подключение к этому адресу.
Вернемся к вредоносу. Происходят манипуляции с реестром для отключения Windows Defender.
ВПО очищает системные журналы событий для сокрытия следов.
Из нестандартной папки (С:\Windows\Fonts) запускается утилита curl.exe, затем скачивается и запускается исполняемый файл (smartscreen.exe), который запускается оттуда же.
Устанавливаются уязвимые драйверы.
Выполняется модуль kill.png с доступом к WinAPI-функциям, в частности к выделению памяти для шеллкода.
Я подсветил только самые интересные моменты. На самом деле индикаторов, по которым можно обнаружить вредоносную активность, намного больше.
Хакеры непрерывно ищут уязвимости и способы обойти системы безопасности. Специалисты по ИБ, в свою очередь, постоянно разрабатывают новые методы и стратегии, чтобы защитить информацию. Такой инструмент, как EDR-система, помогает обнаруживать угрозы, реагировать на них, исследовать инциденты и управлять уязвимостями.
А вот список имен процессов, как и обещал.
avcenter.exe
avguard.exe
avgnt.exe
sched.exe
ashdisp.exe
rtvscan.exe
ccapp.exe
npfmntor.exe
ccsetmgr.exe
ccregvfy.exe
ksafe.exe
qqpcrtp.exe
avgwdsvc.exe
quhlpsvc.exe
mssecess.exe
savprogress.exe
sophosui.exe
sophosfs.exe
sophoshealth.exe
sophossafestore64.exe
sophoscleanm.exe
fsavgui.exe
vsserv.exe
remupd.exe
fortitray.exe
safedog.exe
parmor.exe
iparmor.exe
beikesan.exe
kswebshield.exe
trojanhunter.exe
gg.exe
adam.exe
ast.exe
ananwidget.exe
avk.exe
avg.exe
spidernt.exe
avgaurd.exe
vsmon.exe
cpf.exe
outpost.exe
rfwmain.exe
kpfwtray.exe
fyfirewall.exe
mpmon.exe
pfw.exe
baidusdsvc.exe
baidusdtray.exe
baidusd.exe
safedogguardcenter.exe
safedogupdatecenter.exe
safedogsiteiis.exe
safedogtray.exe
safedogserverui.exe
d_safe_manage.exe
d_manage.exe
yunsuo_agent_service.exe
yunsuo_agent_daemon.exe
hwspanel.exe
hws_ui.exe
hws.exe
hwsd.exe
hipstray.exe
hipsdaemon.exe
wsctrl.exe
usysdiag.exe
sphinx.exe
bddownloader.exe
baiduansvx.exe
avastui.exe
emet_agent.exe
emet_service.exe
firesvc.exe
firetray.exe
hipsvc.exe
mfevtps.exe
mcafeefire.exe
scan32.exe
shstat.exe
vstskmgr.exe
engineserver.exe
mfeann.exe
mcscript.exe
updaterui.exe
udaterui.exe
naprdmgr.exe
cleanup.exe
cmdagent.exe
frminst.exe
mcscript_inuse.exe
mctray.exe
_avp32.exe
_avpcc.exe
_avpm.exe
aavgapi.exe
ackwin32.exe
alertsvc.exe
alogserv.exe
anti-trojan.exe
arr.exe
atguard.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
auto-protect.nav80try.exe
autodown.exe
avconsol.exe
avgcc32.exe
avgctrl.exe
avgemc.exe
avgrsx.exe
avgserv.exe
avgserv9.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avltmain.exe
avnt.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsynmgr.exe
avwin.exe
bargains.exe
beagle.exe
blackd.exe
blackice.exe
blink.exe
blss.exe
bootwarn.exe
bpc.exe
brasil.exe
ccevtmgr.exe
cdp.exe
cfd.exe
cfgwiz.exe
claw95.exe
claw95cf.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cpd.exe
ctrl.exe
cv.exe
defalert.exe
defscangui.exe
defwatch.exe
doors.exe
dpf.exe
dpps2.exe
dssagent.exe
ecengine.exe
emsw.exe
ent.exe
espwatch.exe
ethereal.exe
avxw.exe
expert.exe
f-prot95.exe
fameh32.exe
fast.exe
fch32.exe
fih32.exe
findviru.exe
firewall.exe
fnrb32.exe
fp-win.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
fsgk32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
gbmenu.exe
guard.exe
guarddog.exe
htlog.exe
htpatch.exe
hwpe.exe
iamapp.exe
iamserv.exe
iamstats.exe
iedriver.exe
iface.exe
infus.exe
infwin.exe
intdel.exe
intren.exe
jammer.exe
kavpf.exe
kazza.exe
keenvalue.exe
launcher.exe
ldpro.exe
ldscan.exe
localnet.exe
luall.exe
luau.exe
lucomserver.exe
mcagent.exe
mcmnhdlr.exe
mctool.exe
mcupdate.exe
mcvsrte.exe
mcvsshld.exe
mfin32.exe
mfw2en.exe
mfweng3.02d30.exe
mgavrtcl.exe
mgavrte.exe
mghtml.exe
mgui.exe
minilog.exe
mmod.exe
mostat.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mscache.exe
mscman.exe
msmgt.exe
msvxd.exe
mwatch.exe
nav.exe
navapsvc.exe
navapw32.exe
navw32.exe
ndd32.exe
neowatchlog.exe
netutils.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
norton_internet_secu_3.0_407.exe
notstart.exe
nprotect.exe
npscheck.exe
npssvc.exe
ntrtscan.exe
nui.exe
otfix.exe
outpostinstall.exe
patch.exe
pavw.exe
pcscan.exe
pdsetup.exe
persfw.exe
pgmonitr.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
powerscan.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
prizesurfer.exe
prmt.exe
prmvr.exe
processmonitor.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
qconsole.exe
qserver.exe
rapapp.exe
rb32.exe
rcsync.exe
realmon.exe
rescue.exe
rescue32.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
run32dll.exe
safeweb.exe
sbserv.exe
scrscan.exe
sh.exe
showbehind.exe
soap.exe
sofi.exe
sperm.exe
supporter5.exe
symproxysvc.exe
symtray.exe
tbscan.exe
tc.exe
titanin.exe
tvmd.exe
tvtmd.exe
vettray.exe
vir-help.exe
vnpc3000.exe
vpc32.exe
vpc42.exe
vshwin32.exe
vsmain.exe
vsstat.exe
wfindv32.exe
zapro.exe
zonealarm.exe
a2cmd.exe
a2service.exe
a2free.exe
advchk.exe
agb.exe
ahprocmonserver.exe
airdefense.exe
avira.exe
amon.exe
avz.exe
antivir.exe
apvxdwin.exe
ashmaisv.exe
ashserv.exe
ashsimpl.exe
ashwebsv.exe
aswupdsv.exe
aswscan.exe
avciman.exe
avengine.exe
avesvc.exe
avevl32.exe
avgam.exe
avgcc.exe
avgchsvx.exe
avgcsrvx.exe
avgnsx.exe
avgfwsrv.exe
avgntmgr.exe
avgtray.exe
avgupsvc.exe
avinitnt.exe
avserver.exe
avsched32.exe
avwupsrv.exe
bdswitch.exe
cfp.exe
clamwin.exe
cureit.exe
drwadins.exe
drweb.exe
defenderdaemon.exe
ewidoctrl.exe
ezantivirusregistrationcheck.exe
fprottray.exe
fpwin.exe
freshclam.exe
fsbwsys.exe
fsdfwd.exe
fsgk32st.exe
fssm32.exe
guardgui.exe
guardnt.exe
inocit.exe
inorpc.exe
inort.exe
inotask.exe
inouptng.exe
isafe.exe
kav.exe
kavmm.exe
kavpfw.exe
kavstart.exe
kavsvc.exe
kavsvcui.exe
kmailmon.exe
mcregwiz.exe
myagtsvc.exe
myagttry.exe
navlu32.exe
neowatchtray.exe
npfmsg.exe
nsmdtr.exe
ofcpfwsvc.exe
onlinent.exe
op_mon.exe
pavfires.exe
pavfnsvr.exe
pavkre.exe
pavprot.exe
pavproxy.exe
pavprsrv.exe
pavsrv51.exe
pavss.exe
pccguide.exe
pcciomon.exe
pccntmon.exe
pccpfw.exe
pcctlcom.exe
pctav.exe
pervac.exe
pestpatrol.exe
prevsrv.exe
savadminservice.exe
savmain.exe
savscan.exe
sdhelp.exe
spbbcsvc.exe
spidercpl.exe
spiderml.exe
spiderui.exe
spybotsd.exe
swagent.exe
swdoctor.exe
swnetsup.exe
symlcsvc.exe
symsport.exe
symwsc.exe
synmgr.exe
tmlisten.exe
tmntsrv.exe
tmproxy.exe
tnbutil.exe
vba32ecm.exe
vba32ifs.exe
vba32pp3.exe
vcrmon.exe
vrmonnt.exe
vrmonsvc.exe
xcommsvr.exe
360rp.exe
afwserv.exe
safeboxtray.exe
360safebox.exe
qqpctray.exe
ksafetray.exe
ksafesvc.exe
kwatch.exe
gov_defence_service.exe
gov_defence_daemon.exe
smartscreen.exe
macompatsvc.exe
mcamnsvc.exe
masvc.exe
mfemms.exe
mctary.exe
mfewc.exe
mfewch.exe
mfefw.exe
mfefire.exe
mfetp.exe
mfecanary.exe
mfeconsole.exe
mfeesp.exe
fcag.exe
fcags.exe
fcagswd.exe
fcagate.exe
360entclient.exe
qaxentclient.exe
qaxtray.exe
edr_sec_plan.exe
edr_monitor.exe
edr_agent.exe
escccontrol.exe
escc.exe
esav.exe
esccindex.exe
aliyundun.exe
wdswfsafe.exe
topsecmain.exe
topsectray.exe
ydlive.exe
ydservice.exe
titanagent.exe
titanmonitor.exe
gse_win_daemon.exe
gse_win_agent.exe
qhactivedefense.exe
qhwatchdog.exe
qhsafetray.exe
qhsafemain.exe
jingyunmonsvr.exe
jingyunsdmainsvr.exe
jingyunsdsvr.exe
jingyunsdtray.exe
aawtray.exe
ad-aware.exe
msascui.exe
adaware.exe
advxdwin.exe
agentsvr.exe
agentw.exe
alevir.exe
amon9x.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
atcon.exe
atro55en.exe
autotrace.exe
autoupdate.exe
ave32.exe
avwin95.exe
avwinnt.exe
avwupd.exe
avwupd32.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
backweb.exe
bd_professional.exe
belt.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
bootconf.exe
borg2.exe
bs120.exe
bundle.exe
bvt.exe
ccpxysvc.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
click.exe
cmesys.exe
cmgrdian.exe
cmon016.exe
connectionmonitor.exe
cpf9x206.exe
cpfnt206.exe
cwnb181.exe
cwntdwmo.exe
datemanager.exe
dcomx.exe
deputy.exe
divx.exe
dllcache.exe
dllreg.exe
dpfsetup.exe
drwatson.exe
drweb32.exe
drwebupw.exe
dvp95.exe
dvp95_0.exe
efpeadm.exe
esafe.exe
escanhnt.exe
escanv95.exe
etrustcipe.exe
evpn.exe
exantivirus-cnet.exe
explore.exe
f-agnt95.exe
f-stopw.exe
fp-win_trial.exe
fprot.exe
frw.exe
gator.exe
gbpoll.exe
generics.exe
gmt.exe
hacktracersetup.exe
hbinst.exe
hbsrv.exe
hotactio.exe
hotpatch.exe
hxdl.exe
hxiul.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iedll.exe
ifw2000.exe
inetlnfo.exe
init.exe
iomon98.exe
istsvc.exe
jdbgmrg.exe
jedi.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
kernel32.exe
killprocesssetup161.exe
ldnetmon.exe
ldpromenu.exe
lnetinfo.exe
loader.exe
lockdown.exe
lockdown2000.exe
lookout.exe
lordpe.exe
lsetup.exe
luinit.exe
luspt.exe
mapisvc32.exe
md.exe
monitor.exe
moolive.exe
mrflux.exe
msapp.exe
msbb.exe
msblast.exe
msccn32.exe
msdm.exe
msdos.exe
msiexec16.exe
mslaugh.exe
msmsgri32.exe
mssmmc32.exe
mssys.exe
mu0311ad.exe
n32scanw.exe
navap.navapsvc.exe
navdx.exe
navnt.exe
navstub.exe
navwnt.exe
nc2000.exe
ncinst4.exe
neomonitor.exe
netarmor.exe
netd32.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
normist.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nsched32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
nt.exe
ntvdm.exe
ntxconfig.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
ollydbg.exe
onsrvr.exe
optimize.exe
ostronet.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavcl.exe
pavsched.exe
pccwin98.exe
pcfwallicon.exe
pcip10117_0.exe
periscope.exe
perswf.exe
pf2.exe
pfwadmin.exe
portdetective.exe
portmonitor.exe
procdump.exe
procexplorerv1.0.exe
programauditor.exe
rav7.exe
rav7win.exe
rav8win32eng.exe
ray.exe
reged.exe
rrguard.exe
rundll.exe
rundll16.exe
ruxdll32.exe
sahagent.exescan32.exe
save.exe
savenow.exe
scam32.exe
scan95.exe
scanpm.exe
serv95.exe
setup_flowprotector_us.exe
setupvameeval.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sms.exe
smss32.exe
spf.exe
spoler.exe
spoolcv.exe
spoolsv32.exe
spyxx.exe
srexe.exe
srng.exe
ss3edit.exe
ssg_4104.exe
ssgrate.exe
st2.exe
start.exe
stcloader.exe
supftrl.exe
support.exe
svchostc.exe
svchosts.exe
sweep95.exe
sweepnet.sweepsrv.sys.swnetsup.exe
sysedit.exe
sysupd.exe
taskmg.exe
taskmo.exe
taumon.exe
tca.exe
tcm.exe
tds-3.exe
tds2-98.exe
tds2-nt.exe
teekids.exe
tfak.exe
tfak5.exe
tgbob.exe
titaninxp.exe
trickler.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
tsadbot.exe
undoboot.exe
updat.exe
update.exe
upgrad.exe
utpost.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vet32.exe
vet95.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vpfw30s.exe
vptray.exe
vscan40.exe
vscenu6.02d30.exe
vsched.exe
vsecomr.exe
vsisetup.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webdav.exe
webscanx.exe
webtrap.exe
whoswatchingme.exe
wimmun32.exe
win-bugsfix.exe
win32.exe
win32us.exe
winactive.exe
window.exe
windows.exe
wininetd.exe
wininitx.exe
winlogin.exe
winmain.exe
winnet.exe
winppr32.exe
winrecon.exe
winservn.exe
winssk32.exe
winstart.exe
winstart001.exe
wintsk32.exe
winupdate.exe
wkufind.exe
wnad.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wupdater.exe
wupdt.exe
wyvernworksfirewall.exe
xpf202en.exe
zapsetup3001.exe
zatutor.exe
zonalm2601.exe
akrnl.exe
trojan.exe
armor2net.exe
ash.exe
ashenhcd.exe
ashpopwz.exe
ashskpck.exe
aveval.exe
avkwctl.exe
avxmonitor.exe
cafix.exe
bitdefender.exe
cfpconfig.exe
clamtray.exe
drvirus.exe
dwebllio.exe
dwebio.exe
escanh95.exe
filemon.exe
forticlient.exe
fortiscan.exe
fpavserver.exe
f-sched.exe
fsguiexe.exe
fspex.exe
gcasdtserv.exe
gcasserv.exe
giantantispyware.exe
guardxservice.exe
guardxkickoff.exe
hregmon.exe
hrres.exe
hsockpe.exe
hupdate.exe
icssuppnt.exe
inetupd.exe
isatray.exe
mamutu.exe
npavtray.exe
nssserv.exe
nsstray.exe
ntos.exe
nvcod.exe
nvcte.exe
nvcut.exe
opssvc.exe
pertsk.exe
pnmsrv.exe
prevx.exe
psimsvc.exe
qhonline.exe
qhonsvc.exe
qhwscsvc.exe
qhset.exe
sality.exe
sapissvc.exe
scanwscs.exe
scanningprocess.exe
sdra64.exe
sitecli.exe
stopsignav.exe
vba32ldr.exe
vbsntw.exe
vrfwsvc.exe
vrrw32.exe
winssnotify.exe
zlclient.exe
patray.exe
v3svc.exe
360skylarsvc.exe
nissrv.exe
mssense.exe
msseces.exe
mpcmdrun.exe
miner.exe
ayagent.exe
iparmor.exe.exe
s.exe
1433.exe
dub.exe
servudaemon.exe
senseir.exe
sensendr.exe
sensecncproxy.exe
sensesampleuploader.exe
elastic-agent.exe
elastic-endpoint.exe
filebeat.exe
xagt.exe
qualysagent.exe
sentinelagent.exe
sentinelagentworker.exe
sentinelservicehost.exe
sentinelstaticengine.exe
logprocessorservice.exe
sentinelstaticenginescanner.exe
sentinelhelperservice.exe
sentinelbrowsernativehost.exe
cylancesvc.exe
amsvc.exe
cramtray.exe
crssvc.exe
executionpreventionsvc.exe
cybereasonav.exe
cb.exe
repmgr.exe
reputils.exe
repux.exe
repwav.exe
repwsc.exe
taniumclient.exe
taniumcx.exe
taniumdetectengine.exe
traps.exe
cyserver.exe
cyveraservice.exe
cyvrfsflt.exe
fortiedr.exe
sfc.exe
winlogbeat.exe
eiconnector.exe
hurukai.exe
cetasvc.exe
wscommunicator.exe
endpointbasecamp.exe
tmwscsvc.exe
cntaosmgr.exe
tmccsf.exe
eshasrv.exe
kxescore.exe
kupdata.exe
kwsprotect64.exe
hipslog.exe
hipsmain.exe
securityhealthservice.exe
smcgui.exe
snac.exe
clamscan.exe
qqpcnetflow.exe
qqpcrealtimespeedup.exe
liveupdate360.exe
mbamservice.exe
mbam.exe
mbamtray.exe
gdscan.exe
avkproxy.exe
avkbackupservice.exe
notifier.exe
aliyundunupdate.exe
aliyun_assist_service.exe
baradagent.exe
sgagent.exe
ydedr.exe
360websafe.exe
qhsrv.exe
qhwebshellguard.exe
safedogsiteapache.exe
cloudhelper.exe
hwshostpanel.exe
hwshostmaster.exe
psdefender.exe
ossec-agent.exe
fsulprothoster.exe
fsorsp64.exe
fshoster64.exe
fshoster32.exe
fsdevcon.exe
aowinagt.exe
directorymonitor.exe
nxlog.exe
snarecore.exe
splunk-winevtlog.exe
splunkd.exe
tanium.exe
360leakfixer.exe
acaas.exe
acaegmgr.exe
acais.exe
aclntusr.exe
alert.exe
almon.exe
alunotify.exe
alupdate.exe
alsvc.exe
avgidsagent.exe
avgidsmonitor.exe
avgidsui.exe
avgidswatcher.exe
avktray.exe
avpdtagt.exe
acctmgr.exe
ad-aware2007.exe
addressexport.exe
adminserver.exe
administrator.exe
aexagentuihost.exe
aexnsagent.exe
aexnsrcvsvc.exe
aluschedulersvc.exe
anvir.exe
appsvc32.exe
atrshost.exe
auth8021x.exe
avtask.exe
bwmeterconsvc.exe
caantispyware.exe
calogdump.exe
cappactiveprotection.exe
ccap.exe
ccenter.exe
cclaw.exe
clps.exe
clpsla.exe
clpsls.exe
cpntsrv.exe
ctdataload.exe
certificationmanagerservicent.exe
clshield.exe
console.exe
cylanceui.exe
dao_log.exe
dlservice.exe
dltray.exe
drwagntd.exe
drwagnui.exe
drweb32w.exe
drwebscd.exe
drwinst.exe
dsmain.exe
dwhwizrd.exe
dolphincharge.exe
ehttpsrv.exe
emlproui.exe
emlproxy.exe
emlibupdateagentnt.exe
etconsole3.exe
etcorrel.exe
etloganalyzer.exe
etreporter.exe
etrssfeeds.exe
euqmonitor.exe
endpointsecurity.exe
entitymain.exe
etscheduler.exe
etwcontrolpanel.exe
eventparser.exe
fcdblog.exe
fscuif.exe
fshdll32.exe
fwcfg.exe
firewallgui.exe
forcefield.exe
fortiproxy.exe
fortiwf.exe
freeproxy.exe
gdfirewalltray.exe
gdfwsvc.exe
hwapi.exe
isntsysmonitor.exe
issvc.exe
iswmgr.exe
itmrtsvc.exe
itmrt_supportdiagnostics.exe
itmrt_trace.exe
icepack.exe
idsinst.exe
inonmsrv.exe
inoweb.exe
isntsmtp.exe
kabackreport.exe
kanmcmain.exe
klnagent.exe
knupdatemain.exe
kpfwsvc.exe
kvmonxp_2.exe
kvsrvxp.exe
kwsprod.exe
kavadapterexe.exe
keypass.exe
kvxp.exe
lwdmserver.exe
lockapp.exe
loggetor.exe
mcui32.exe
managementagentnt.exe
mcafeedatabackup.exe
mcepoc.exe
mcepocfg.exe
mcnasvc.exe
mcproxy.exe
mcwce.exe
mcwcecfg.exe
mgntsvc.exe
mpfsrv.exe
nailgpip.exe
ncdaemon.exe
nip.exe
njeeves.exe
nlclient.exe
nmagent.exe
nod32view.exe
nrmenctb.exe
nvcoas.exe
nvcsched.exe
navshcom.exe
navectrl.exe
navelog.exe
navesp.exe
npfmsg2.exe
npfsvice.exe
nsctop.exe
nymse.exe
olfsnt40.exe
omslogmanager.exe
onlnsvc.exe
pasystemtray.exe
ppclean.exe
ppctlpriv.exe
pqibrowser.exe
pshost.exe
pxemtftp.exe
padfsvr.exe
pagent.exe
pagentwd.exe
pavbckpt.exe
pavreport.exe
pcscnsrv.exe
pccntupd.exe
ppppwallrun.exe
printdevice.exe
proutil.exe
psctrls.exe
pwdfilthelp.exe
qoeloader.exe
ravxp.exe
rnreport.exe
rpcserv.exe
rssensor.exe
rav.exe
ravalert.exe
ravmon.exe
ravservice.exe
ravstub.exe
ravtask.exe
ravtray.exe
ravupdate.exe
redirsvc.exe
regmech.exe
reportersvc.exe
routernt.exe
safeservice.exe
saservice.exe
savfmsesp.exe
scanmsg.exe
scfmanager.exe
scfservice.exe
scftray.exe
sdtrayapp.exe
sevinst.exe
smex_activeupdate.exe
smex_master.exe
smex_remoteconf.exe
smex_systemwatch.exe
smsectrl.exe
smselog.exe
smsesjm.exe
smsesp.exe
smsesrv.exe
smsetask.exe
smseui.exe
sndmon.exe
sndsrvc.exe
ssm.exe
ssscheduler.exe
svcharge.exe
svdealer.exe
svframe.exe
svtray.exe
savroam.exe
savui.exe
scanmailoutlook.exe
seanalyzertool.exe
semsvc.exe
sesclu.exe
setupguimngr.exe
siteadv.exe
snhwsrv.exe
snicheckadm.exe
snicon.exe
snsrv.exe
snichecksrv.exe
spideragent.exe
spntsvc.exe
spyemergency.exe
spyemergencysrv.exe
stopp.exe
stwatchdog.exe
symcorpui.exe
tfgui.exe
tfservice.exe
tftray.exe
tfun.exe
tiaspn~1.exe
tsansrf.exe
tsatisy.exe
tscutynt.exe
tsmpnt.exe
tmpfw.exe
traflnsp.exe
traptrackermgr.exe
upschd.exe
ucservice.exe
umxagent.exe
umxcfg.exe
umxfwhlp.exe
umxpol.exe
up2date.exe
urllstck.exe
useractivity.exe
useranalysis.exe
usrprmpt.exe
v3medic.exe
vpdn_lu.exe
webproxy.exe
wfxctl32.exe
wfxmod32.exe
wfxsnt40.exe
winroute.exe
wrspysetup.exe
zlh.exe
zanda.exe
acaif.exe
aclient.exe
aexsvc.exe
aexswdusr.exe
aflogvw.exe
ahnrpt.exe
ahnsd.exe
ahnsdsv.exe
amswmagt.exe
antiarp.exe
aphost.exe
aps.exe
ashavast.exe
ashbug.exe
ashchest.exe
ashcmd.exe
ashlogv.exe
ashquick.exe
ashsimp2.exe
ashskpcc.exe
ashupd.exe
asupport.exe
aswdisp.exe
aswregsvr.exe
aswserv.exe
aswwebsv.exe
atwsctsk.exe
aupdrun.exe
aus.exe
autoup.exe
avadmin.exe
avconfig.exe
avfwsvc.exe
avgamsvr.exe
avgas.exe
avgdiag.exe
avgfws8.exe
avgfws9.exe
avginet.exe
avgmsvr.exe
avgregcl.exe
avgrssvc.exe
avgscanx.exe
avgsystx.exe
avgui.exe
avgupd.exe
avgupdln.exe
avgvv.exe
avgwb.exe
avgwizfw.exe
avmailc.exe
avmcdlg.exe
avnotify.exe
avpexec.exe
avpncc.exe
avps.exe
avscan.exe
avshadow.exe
avwebgrd.exe
basfipm.exe
bdc.exe
bdlite.exe
bdmcon.exe
bdss.exe
bdsubmit.exe
bmrt.exe
bpk.exe
bwgo0000.exe
ca.exe
caav.exe
caavcmdscan.exe
caavguiscan.exe
caf.exe
cafw.exe
caissdt.exe
capfaem.exe
capfasem.exe
capfsem.exe
capmuamagt.exe
casc.exe
casecuritycenter.exe
caunst.exe
cavrep.exe
cavrid.exe
cavscan.exe
cavtray.exe
cclgview.exe
ccproxy.exe
ccnfagent.exe
ccprovsp.exe
ccschedulersvc.exe
ccsmagtd.exe
ccsystemreport.exe
cctray.exe
ccupdate.exe
cfftplugin.exe
cfnotsrvd.exe
cfpconfg.exe
cfplogvw.exe
cfpsbmit.exe
cfpupdat.exe
cfsmsmd.exe
checkup.exe
cka.exe
cmdinstall.exe
comhost.exe
control_panel.exe
cpdclnt.exe
crashrep.exe
csacontrol.exe
csinject.exe
csinsm32.exe
csinsmnt.exe
csrss_tc.exe
cz.exe
dbserv.exe
dbsrv9.exe
deloeminfs.exe
diskmon.exe
djsnetcn.exe
doscan.exe
drweb386.exe
drwebcgp.exe
drwebcom.exe
drwebdc.exe
drwebmng.exe
drwebwcl.exe
drwebwin.exe
drwupgrade.exe
dwengine.exe
edisk.exe
elogsvc.exe
era.exe
esecagntservice.exe
esecservice.exe
esmagent.exe
etagent.exe
evtprocessecfile.exe
evtarmgr.exe
evtmgr.exe
exe.avxw.exe
execstat.exe
fmon.exe
fortifw.exe
fsaua.exe
fsguidll.exe
fsorsp.exe
fspc.exe
fsqh.exe
fwinst.exe
gcascleaner.exe
gcasinstallhelper.exe
gcasnotice.exe
gcasservalert.exe
gcasswupdater.exe
gfireporterservice.exe
ghost_2.exe
ghosttray.exe
giantantispywaremain.exe
giantantispywareupdater.exe
idle.exe
igateway.exe
inicio.exe
ispwdsvc.exe
isuac.exe
isafinst.exe
kaccore.exe
kansgui.exe
kansvr.exe
kastray.exe
kav32.exe
kavfsgt.exe
kavfsrcn.exe
kavfsscs.exe
kavisarv.exe
kavlotsingleton.exe
kavshell.exe
kavss.exe
kis.exe
kislive.exe
kissvc.exe
klnacserver.exe
klserver.exe
klswd.exe
klwtblfs.exe
knownsvr.exe
kpf4gui.exe
kpf4ss.exe
kpfw32.exe
krbcc32s.exe
kvdetech.exe
kvolself.exe
kvsrvxp_1.exe
kxeserv.exe
leventmgr.exe
livesrv.exe
lmon.exe
log_qtine.exe
lucallbackproxy.exe
lucoms.exe
lucoms~1.exe
makereport.exe
mantispm.exe
masalert.exe
massrv.exe
mcappins.exe
mcconsol.exe
mcdash.exe
mcdetect.exe
mcinfo.exe
mcmscsvc.exe
mcods.exe
mcpalmcfg.exe
mcpromgr.exe
mcshell.exe
mcshld9x.exe
mcsysmon.exe
mctskshd.exe
mcuimgr.exe
mcupdmgr.exe
mcvsftsn.exe
monsvcnt.exe
monsysnt.exe
mpf.exe
mpfconsole.exe
mps.exe
mpsevh.exe
mpsvc.exe
mrf.exe
mscifapp.exe
mskagent.exe
mskdetct.exe
msksrver.exe
msksrvr.exe
msscli.exe
msssrv.exe
nsmdemf.exe
nsmdmon.exe
nsmdreal.exe
nsmdsch.exe
msascuil.exe
ndetect.exe
neotrace.exe
netalertclient.exe
networx.exe
ngctw32.exe
ngserver.exe
nipsvc.exe
nisoptui.exe
nlsvc.exe
nod32krn.exe
nod32kui.exe
nscsrvce.exe
ntcaagent.exe
ntcadaemon.exe
ntcaservice.exe
oasclnt.exe
oespamtest.exe
ofcdog.exe
okclient.exe
op_viewer.exe
opscan.exe
paamsrv.exe
pavjobs.exe
pavmail.exe
pavsrv50.exe
pavsrv52.exe
pavupg.exe
pccnt.exe
pccclient.exe
pcclient.exe
pctsauxs.exe
pctsgui.exe
pctssvc.exe
pctstray.exe
pep.exe
pmon.exe
pntiomon.exe
pop3pack.exe
ppmcativedetection.exe
pqv2isvc.exe
psctris.exe
psh_svc.exe
psimreal.exe
pskmssvc.exe
pview.exe
pviewer.exe
pxeservice.exe
qclean.exe
qdcsfs.exe
rapuisvc.exe
ras.exe
rasupd.exe
rcsvcmon.exe
reportsvc.exe
rfwproxy.exe
rfwsrv.exe
rfwstub.exe
rnav.exe
rsnetsvr.exe
rstray.exe
sahookmain.exe
sav32cli.exe
scanexplicit.exe
scanfrm.exe
schdsrvc.exe
schupd.exe
seestat.exe
setloadorder.exe
smoutlookpack.exe
softmanager.exe
srvload.exe
srvmon.exe
sschk.exe
stinger.exe
svcgenerichost
svcntaux.exe
swdsvc.exe
sweepsrv.exe
swnxt.exe
swserver.exe
sysdoc32.exe
tclproc.exe
tdimon.exe
tmas.exe
tpsrv.exe
tracesweeper.exe
trupd.exe
unvet32.exe
updtnv28.exe
upfile.exe
uplive.exe
usergate.exe
v2iconsole.exe
v3clnsrv.exe
v3exec.exe
v3imscn.exe
vetmsg.exe
vpatch.exe
vprosvc.exe
vrv.exe
vrvmail.exe
vrvmon.exe
vrvnet.exe
webtrapnt.exe
wssfcmai.exe
xagtnotif.exe
xfilter.exe
csfalconservice.exe
csfalconcontainer.exe
redcloak.exe
omniagent.exe
minionhost.exe
pylumloader.exe
daselam.exe
agentservice.exe
agentdaemon.exe
dasantirme.exe
callmsi.exe
avkcl.exe
certimporter-1614.exe
ecapture.exe
ecls.exe
ecmd.exe
ecmds.exe
ecomserver.exe
eeclnt.exe
aawservice.exe
bullguardscanner.exe
savservice.exe
wrsa.exe
psuaservice.exe
bdagent.exe
avastsvc.exe
avgsvc.exe
kavtray.exe
kavfswp.exe
kavfswh.exe
kavfs.exe
360tray.exe
360safe.exe
zhudongfangyu.exe
360sd.exe
a2guard.exe
ad-watch.exe
cleaner8.exe
vba32lder.exe
mongoosagui.exe
coranticontrolcenter32.exe
f-prot.exe
cmctrayicon.exe
k7tsecurity.exe
unthreat.exe
cksoftshiedantivirus4.exe
avwatchservice.exe
arcatasksservice.exe
iptray.exe
psafesystray.exe
nspupsvc.exe
spywareterminatorshield.exe
bkavservice.exe
msmpeng.exe
sbamsvc.exe
ccsvchst.exe
f-secure.exe
avp.exe
kvmonxp.exe
ravmond.exe
mcshield.exe
tbmon.exe
frameworkservice.exe
egui.exe
ekrn.exe
eguiproxy.exe
kxetray.exe
knsdtray.exe
tmbmsrv.exe
Виталий Самаль
Старший специалист отдела обнаружения вредоносного ПО
HiLander
Не очень понимаю смысла полного перебора процессов. Тот же CureIT от доктора паутинки каждая версия со случайным именем файла...