Помогите определить вирус (UEFI? Nemesis? Mshta?)

RSS
Привет. Уже два месяца бодаюсь с неким вирусом. Все подозрения падают на заражение прошивки UEFI, при чем такая ситуация наблюдается на ВСЕХ устройствах от Iphone и macbook до ПК под управлением windows, linux или любой другой в том числе LiveCD от антивирусных производителей.
Сегодня у меня переполнилась чаша терпения после чего я приобрел АБСОЛЮТНО новый запечатанный ноутбук.
Единственный способ контакта между устройствами который мог бы произойти это связь по Bluetooth или Wifi.
Повторюсь что новый ПК не был включен в общую сеть вайфай, никогда не имел общих ресурсов ни с какими другими устройствами, и при этом был куплен новый USB модем и весь доступ в интернет в т.ч. сейчас производится только с него. В общем руки уже опускаются, прошу вашей помощи. Сейчас я предоставлю логи с нового пк, но в дальнейшем надеюсь вылечить и остальные, а этот ноутбук лишь тестовая машина которую планировал использовать как безопасный пк на всякий случай. Увы.
Добавлю лишь что на всех устройствах уже проводились полные хардсбросы, переустановки систем и т.д. и т.п.
Предполагаемо вирус передается по Bluetooth, вроде бы первыми были затронуты драйверы этого модуля.


Перед созданием логов система была восстановлена стандартными Windows утилитами восстановления (не точка восстановления а именно сброс всех данных)
Изменено: Сложная Капча - 14.11.2020 07:32:21

Ответы

Цитата
RP55 RP55 написал:
Цитата
 Сложная Капча  написал:
купил чистый новый ноутбук, однако проблема наблюдается и на нем
1) Напишите как и в чём это проявляется.
2) По поводу чистой системы - требование относиться к случаю заражения файлов файловым вирусом.
У вас нет файлового заражения.
Все предоставленные логи были созданы на НОВОМ свежем ноутбуке.
На старых устройствах проявляется такая же проблема. Примерно аналогичные похожие логи с такими же проблемами.
Вот например: при попытке загрузить программу записи образов RUFUS при нажатии на ссылку:
Код
https://github.com/pbatard/rufus/releases/download/v3.12/rufus-3.12.exe

Пример2: dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip
Загрузка начинается с:

Код
https://github-production-release-asset-2e65be.s3.amazonaws.com/2810292/f23e6700-0e3a-11eb-89ee-3186bf677d8b?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20201114%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20201114T125913Z&X-Amz-Expires=300&X-Amz-Signature=439cee824f0ed3d9dbbc3985c315e4821be614ee9df810bbda612fa3ce42e630&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=2810292&response-content-disposition=attachment%3B%20filename%3Drufus-3.12.exe&response-content-type=application%2Foctet-stream

Пример2: https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

Такая проблема наблюдается со всеми ссылками с GitHub, и с многими популярными программами но все же не со всеми ссылками

Как убедиться в чистоте скачаного файла? Почему загрузка начинается с другой ссылки?

Загрузка вашего Live CD с dropbox опять же стартуется с:

Код
https://uc6675e2385144c5675b2f66e78c.dl.dropboxusercontent.com/zip_download_get/AmkjxilYAxGUd7mbnJHpXMDgviqaqTD-o5qJ92CCSwrZhMu6HDbUTgpiMwoHpWotbKsCL_HHiAMXsRtzY9nI3BCa-XqdzsM7QxdYqY6Fa5inDg?_download_id=871203214673090437750596960116866756352975602409928259574890280037&_notify_domain=www.dropbox.com&dl=1

dropboxusercontent.com - не бьется whois.

Я уже начинаю подозревать у себя паранойю, пожалуйста научите меня проверять полученные файлы правильным методом а не только проверкой на вирустотале. Может быть сверить хэш?

Цитата
santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
В том то и дело что НОВЫЙ вчера купленный ноутбук так еще и ни разу не был подключен ни к моему домашнему вайфаю, ни к другим устройствам в сети.
Сейчас в данный момент я использую свежекупленный (вчера) 4G модем и больше никак иначе. Однако как вы видите на ноутбуке все же есть какая-то вирусная активность.
Повторюсь что ноутбук НИКАК не контактировал и не связывался НИ С РОУТЕРОМ ни с другими устройствами в моем распоряжении.
Разве что могла быть эксплуатирована уязвимость со стороны зараженных устройств. Предполагаю что могла быть проведена атака ARP связанная с mac адресами, но уверености никакой в этом нет.
Повторюсь что судя по логам установки первым подвергся изменению именно драйвер Bluetooth.
Так же кажутся странными эти события драйвера диска...
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7

Проблема в сайте? В приложении?  
Создание загрузочного USB носителя с помощью программы Rufus: https://www.comss.ru/page.php?id=2715
Цитата
RP55 RP55 написал:
Создание загрузочного USB носителя с помощью программы Rufus:  https://www.comss.ru/page.php?id=2715
пожалуйста посмотрите отчет который был сгенериррован сервисом any.run
ссылку скинул сообщением выше.
Кто-нибудь может объяснить почему многие действия были сдетектированы как вирусные? Начиная от запроса к DNS серверам и заканчивая (???) попыткой изменения системных параметров и даже изменения браузерных расширений (!!!)
Изменено: Сложная Капча - 14.11.2020 18:25:09
Сложная Капча

Подозрительный файл сюда: https://www.virustotal.com/gui/home/upload
Ссылку на результат в тему.
Изменено: RP55 RP55 - 14.11.2020 18:41:35
Цитата
Сложная Капча написал:
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7

Проблема в сайте? В приложении?  
В догонку к этому отчету так же прилагаю отчет на аналогичную утилиту
Unetbootin:
https://app.any.run/tasks/d6657e51-3a1a-4c1c-a580-8653bca53a85




Первый отчет Rufus:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7


Аналогичное детектирование с попыткой изменения браузерных расширений. Есть кто расжует причины данных детектов?
Изменено: Сложная Капча - 14.11.2020 18:42:48
Или вы выполняете рекомендации - или тема будет закрыта.
Проверяем файлы здесь: https://www.virustotal.com/gui/home/upload
Цитата
RP55 RP55 написал:
Сложная Капча

Подозрительный файл сюда:  https://www.virustotal.com/gui/home/upload
Ссылку на результат в тему.
https://www.virustotal.com/gui/file/f37771fbb9a9747c255bfed791c8d25b170a05390c07b97­7ceed83fda2930db0...

Обратите внимание что в разделе COMMUNITY люди скинули ссылку на другой анализатор который в отличии от Virustotal видит подозрительную активность:

https://www.joesandbox.com/analysis/298812/0/html
Цитата
RP55 RP55 написал:
Или вы выполняете рекомендации - или тема будет закрыта.
Проверяем файлы здесь:  https://www.virustotal.com/gui/home/upload
я выполняю все ваши рекомендации, просто чаще отвечаю в тему. Пожалуйста помогите уже разобраться в вопросе. Я предоставил вам аж ДВА других отчета из других анализаторов которые видят вирус, а вирустотал нет. Вы вообще читали отчеты?

Вот еще один отчет который я сгенерировал уже лично сам а не взял ссылку из COMMUNITY/virustotal


https://www.joesandbox.com/analysis/534890Этот отчет свежий, сделан только что, и опять же вирус тотал ничего не нашел в этом же файле, я думаю по той простой причине что это файловый антивирус, и он не создает виртуальную среду для запуска приложения, а лишь проверяет его на сигнатурный анализ.
joesandbox и any.run являются песочницами с полноценной виртуальной средой и ОБЕ песочницы видят активность.
Конкретно за эту информацию может ктонибудь прояснить?
Я не доверяю отчету Virustotal, он буквально устарел в методах обнаружения
Изменено: Сложная Капча - 14.11.2020 19:08:24
Читают тему (гостей: 2)