Помогите определить вирус (UEFI? Nemesis? Mshta?)

RSS
Привет. Уже два месяца бодаюсь с неким вирусом. Все подозрения падают на заражение прошивки UEFI, при чем такая ситуация наблюдается на ВСЕХ устройствах от Iphone и macbook до ПК под управлением windows, linux или любой другой в том числе LiveCD от антивирусных производителей.
Сегодня у меня переполнилась чаша терпения после чего я приобрел АБСОЛЮТНО новый запечатанный ноутбук.
Единственный способ контакта между устройствами который мог бы произойти это связь по Bluetooth или Wifi.
Повторюсь что новый ПК не был включен в общую сеть вайфай, никогда не имел общих ресурсов ни с какими другими устройствами, и при этом был куплен новый USB модем и весь доступ в интернет в т.ч. сейчас производится только с него. В общем руки уже опускаются, прошу вашей помощи. Сейчас я предоставлю логи с нового пк, но в дальнейшем надеюсь вылечить и остальные, а этот ноутбук лишь тестовая машина которую планировал использовать как безопасный пк на всякий случай. Увы.
Добавлю лишь что на всех устройствах уже проводились полные хардсбросы, переустановки систем и т.д. и т.п.
Предполагаемо вирус передается по Bluetooth, вроде бы первыми были затронуты драйверы этого модуля.


Перед созданием логов система была восстановлена стандартными Windows утилитами восстановления (не точка восстановления а именно сброс всех данных)
Изменено: Сложная Капча - 14.11.2020 07:32:21

Ответы

Вы намекаете, что на сайте производителя заражённые файлы
Я вас правильно понял ?
Цитата
RP55 RP55 написал:
Вы намекаете, что на сайте производителя заражённые файлы
Я вас правильно понял
Я просто пытаюсь выяснить причину такого поведения. Я предоставил достаточно много доказательств подозрительной активности и данные отчетов других сервисов меня по большей части очень тревожат. Пожалуйста, если вы можете как-то объяснить такое поведение РАЗНЫХ сайтов, разных программ - не могли бы вы меня успокоить?
Для себя я все еще не смог найти оправдания или какой-либо другой причины такого проявления подозрительной активности, может есть разбирающиеся спецы которые растолкуют данные отчетов и в целом моей проблемы?  
Файлы чистые - что ещё нужно ?
----
Здесь не Интернет Университет.
-----
Программа при запуске проверяет доступность обновлений = сетевая активность.
Программ изменяет загрузочные сектора на флэшке - может потребоваться повышение прав\привилегий
и т.д.
-----
В общем предлагаю тему закрыть.
Цитата
RP55 RP55 написал:
Файлы чистые - что ещё нужно ?
----
Здесь не Интернет Университет.
-----
Программа при запуске проверяет доступность обновлений = сетевая активность.
Программ изменяет загрузочные сектора на флэшке - может потребоваться повышение прав\привилегий
и т.д.
-----
В общем предлагаю тему закрыть.
Вы издеваетесь?
У меня целый ряд проблем и ни по одной из них я не получил ни прояснения ни даже предположений с чем это может быть связано.
1) подмена ссылки при попытке скачки с ресурса
2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
4) и да, при каждой перезагрузке даже после смены параметров (например отключение автозагрузки с внешних носителей) - настройки возвращаются обратно. По крайней мере этот пункт может говорить о присутствии вирусной активности

И я не говорю уже о том что делаю это все на только что распакованном ноутбуке который никак не мог контактировать с зараженными устройствами или сетями

Прошу вас внимательнее изучить детали предоставленных данных и провести более глубокий анализ самостоятельно (ввиду моей низкой квалификации в области обнаружения)
Изменено: Сложная Капча - 14.11.2020 19:49:24
Цитата
Сложная Капча написал:

1) Если файлы с сайта ESET загружаете - тоже подмена ссылок ?
Есть подмена, а есть пере-направление - разницу понимаете ?
Т.е есть сайт и есть ресурс где этот сайт _хранит файлы. Это два разных адреса - или три.
Вы приходите на сайт - и загружаете файл, или с сайта, или же с ресурса\сервера - где и лежат эти файлы.

2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
Где ?
Вы разбираетесь в отчётах\логах ?

Цитата
Сложная Капча написал:
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
Вы знаете, что такое: ЭЦП; SHA1 файла ?
SHA-1 9bf6d9bbc06150a933b4171d55c7a8a297cd9cc5
Загруженные вами для проверки файлы от оригинала не отличаться т.е. эти же файлы лежат на серверах производителя.

Просто так всё подряд меняют только файловые вирусы, но при этом они файл портят - изменяется подконтрольна сумма файла ( SHA1 ) или его цифровая подпись ( файл подписывает разработчик\производитель программы ) У вас целые файлы.

Есть вирусы которые могут это маскировать - маскировать _только тогда когда они сами активны.
А вы проверяет чистые файлы.

4) Почему у вас слетают настройки системы ?
Может вы не подтвердили принятые изменения, или какая другая причина.
это тоже по вашему я понапридумывал?
Первые ссылки по имени драйвера - spy malware/trojan
Изменено: Сложная Капча - 15.11.2020 06:31:12
Подпись исполняемого кода\файла.
-----
Загружаем файл на virustotal ( сервис определяет целостность\легитимность подписи )
Открываем вкладку:  DETAILS  находим строку: Signed file, valid signature
И смотрим кто подписал ( какая компания )
Цитата
RP55 RP55 написал:
Подпись исполняемого кода\файла.
-----
Загружаем файл на virustotal ( сервис определяет целостность\легитимность подписи )
Открываем вкладку:  DETAILS  находим строку: Signed file, valid signature
И смотрим кто подписал ( какая компания )


знаете, на какое-то время вы меня даже переубедили. Я поверил в собственную паранойю. Думаю - не будут же мне ГЛУПЫХ советов давать специалисты профильные.  Я отложил в сторону ноутбук и принялся за восстановление основного ПК.  
И может быть я бы и согласился с вами, что файлы чисты, что это все мои глубокие заблужения - если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа) из раздела Recovery при чем без какой либо перезагрузки.  
Поискав на других рессурсах я все же нашел утилиту способную детектировать вирусы. Это были 19 файлов PUP.Gen.1  

Давайте теперь начнем еще раз, сначала. И не надо пожалуйста меня дураком выставлять. Вы сами то хоть достаточно квалифицированны что-бы таким поучительным тоном рассказывать мне о банальных вещах?

Я прикладываю отчеты RogueKiller. Бувально в МОМЕНТ, думаю даже еще при установке вашего антивирусника ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
и НАДО ЖЕ(!) несмотря на вмешательство в файлы антивируса а так же и во многие другие, подписанные WINDOWS, подписи остались целыми и никаких срабатываний и обнаружений в помине не было.
А вот утилита AVZ благодаря возможности прямого чтения с диска все же умеет определять недоверительные файлы и соответственно их помечает.

И так, если вы еще не поняли то я не шутки тут шучу. И как я изначально и сообщил вам - вирус скорее всего находится в разделе UEFI и исполняется на уровне ядра, оставаясь недосягаемым для обычных антивирусов.
Сообщите какая информация вам нужна для определения проблемы. И обратите внимание пожалуйста на "ПОДМЕНУ" а не редирект ссылки, 2020 год весьма плодовит на нахождение новых уязвимостей, и кто знает что мы встретим завтра?
Если вы явяетесь компетентным лицом для связи с разработчиками советую вам обратить их внимание на мой случай. Я не говорю что он уникальный и возможно вирус уже опознан ведущими компаниями, однако ваши советы по детектированию вируса ни к чему не привели.
Давайте попробуем еще раз найти причину и в случае возникновения трудностей прошу скоординировать меня - куда и к кому мне стоит обратиться дальше, если здесь вы мне ничем помочь не можете?

Надеюсь на этот раз вы уделите достаточно времени для изучения отчетов и конкретно тех моментов на которые я вам указал. Я не какой-то нуб который выкидывает предположения с потолка. За попытками вылечить вирус прошло уже порядка 3-4 месяцев, и постепенно я отсеивал самые популярные связки и возможные известные варианты.
Если бы я мог самостоятельно определить что-это за вирус, я бы вам сюда не писал. Так что давайте, включаем мозги и думаем что это за зверь такой?
я сразу добавлю что имел место быть инцидент когда я однажды зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и  не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в  ядре. Многие виндовсовские библиотеки а так же процессы показывают  аномальную активность/поведение при детальном рассмотрении утилитой AVZ  (просмотр библиотек, расширений ядра, внедренных потоков)


это можно наглядно увидеть в отчете AVZ - avz_services.htm  

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Цитата
Сложная Капча написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows

Цитата
Сложная Капча написал:
Это были 19 файлов PUP.Gen.1  
RogueKiller ...
Типа этого:
Цитата
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found

Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.

Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.
Цитата
Сложная Капча написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.

Цитата
Сложная Капча написал:
А вот утилита AVZ

Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !

Цитата
Сложная Капча написал:
вирус скорее всего находится в разделе UEFI
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.

Цитата
Сложная Капча написал:
зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016.
Технология Dual BIOS  - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...

Цитата
Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.
Изменено: RP55 RP55 - 15.11.2020 17:43:09
Читают тему (гостей: 2)