Dati:
Ci sono una serie di computer Windows 10. Su 8 di questi computer, tre hanno rilevato che il sistema operativo Windows è stato modificato in modo inaspettato.
Si sospetta un'infezione avanzata da malware / spyware.
I tre computer sono su reti diverse. Nessuno di questi ha la capacità di comunicare tra loro sulla rete locale. Tutti sono impostati per ricevere e installare automaticamente gli aggiornamenti da Microsoft.
Queste sospette "infezioni" iniziano il 6 dicembre, con il più recente essere oggi.
Le modifiche inaspettate sono state scoperte dopo che un computer sempre acceso con il suo display sempre acceso, è stato trovato con il display spento.
Inizialmente si credeva che l'aggiornamento di Windows avesse installato automaticamente l'aggiornamento principale 10.1, causando così le modifiche. Ad un'ispezione più ravvicinata, tale aggiornamento non era stato installato. Ancora peggio, due sistemi che sono stati verificati per essere stati precedentemente aggiornati a 10.1 sono stati trovati in qualche modo declassati a 10.0.
La maggior parte o tutte le modifiche sono state riportate dai log degli eventi che sono stati creati da "Kernel-General" come origine.
Tutti i sistemi interessati hanno le seguenti caratteristiche simili:
1 - Tutti i registri eventi iniziano solo al punto di infezione sospetta per ciascuno. Non ci sono dati del registro eventi prima di questo punto.
2 - I registri degli eventi mostrano dati di registrazione esatti o simili su tutti i sistemi interessati, incluso l'ID evento 26 per una sequenza di avvio singola (normalmente utilizzata anche da un legittimo Windows Update).
3 - Le cronologie di accesso sono state cancellate nel registro.
4 - Alcuni menu di sistema interattivi sembrano essere in stile Windows 10.1 (sfondo scuro, testo bianco).
5 - Sono stati installati nuovi driver e servizi.
6 - Gli utenti esistenti sono stati aggiunti al sistema come se fossero nuovi.
Domanda:
Che cosa sta succedendo qui?