Помогите определить вирус (UEFI? Nemesis? Mshta?)

RSS
Привет. Уже два месяца бодаюсь с неким вирусом. Все подозрения падают на заражение прошивки UEFI, при чем такая ситуация наблюдается на ВСЕХ устройствах от Iphone и macbook до ПК под управлением windows, linux или любой другой в том числе LiveCD от антивирусных производителей.
Сегодня у меня переполнилась чаша терпения после чего я приобрел АБСОЛЮТНО новый запечатанный ноутбук.
Единственный способ контакта между устройствами который мог бы произойти это связь по Bluetooth или Wifi.
Повторюсь что новый ПК не был включен в общую сеть вайфай, никогда не имел общих ресурсов ни с какими другими устройствами, и при этом был куплен новый USB модем и весь доступ в интернет в т.ч. сейчас производится только с него. В общем руки уже опускаются, прошу вашей помощи. Сейчас я предоставлю логи с нового пк, но в дальнейшем надеюсь вылечить и остальные, а этот ноутбук лишь тестовая машина которую планировал использовать как безопасный пк на всякий случай. Увы.
Добавлю лишь что на всех устройствах уже проводились полные хардсбросы, переустановки систем и т.д. и т.п.
Предполагаемо вирус передается по Bluetooth, вроде бы первыми были затронуты драйверы этого модуля.


Перед созданием логов система была восстановлена стандартными Windows утилитами восстановления (не точка восстановления а именно сброс всех данных)
Изменено: Сложная Капча - 14.11.2020 07:32:21

Ответы

Цитата
RP55 RP55 написал:
Цитата
 Сложная Капча  написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows
Цитата
 Сложная Капча  написал:
Это были 19 файлов PUP.Gen.1  
RogueKiller ...
Типа этого:
Цитата
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found
Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.

Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.
Цитата
 Сложная Капча  написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.
Цитата
 Сложная Капча  написал:
А вот утилита AVZ
Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !
Цитата
 Сложная Капча  написал:
вирус скорее всего находится в разделе UEFI
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.
Цитата
 Сложная Капча  написал:
зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016.
Технология Dual BIOS  - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...
Цитата
Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.







Хорошо, идем дальше. Вы можете как-то аргументировать внезапное появление (на моем обычном ПК) 5-ти виртуальных интерфейсов-адаптеров сети, на как-бы то ни-было странно 6-ти ядерном процессоре?
Принудительное включение ipv6, при том что настройки адаптера заданы вручную и только для ipv4?
Регулярную долбежку по 53, 5353, 137 порту и т.п., блокировку десятков разных УСТРОЙСТВ (не приложений или доменов) и сотен попыток подключений к ним вашим антивирусом eset модулем защиты сети? Временами невнятные downgrade ssl сертификата на некоторых страницах и переброс на http?

Несколько месяцев назад я боролся в своей сети с подменой dns (отравление dns кэша, dns спуфинг или просто MiTM атака - называйте как хотите), я знаю о чем говорю и уж точно не стал бы поднимать кипишь на пустом месте.


Я уже наслышан о том что современные вирусы приучились использовать виртуализацию системы для сокрытия вредоносных сигнатур и процессов, и черт возьми это виртуализация МОЕЙ системы, в которой они при получении доступа могут делать абсолютно все что угодно.



Лучше подскажите мне как бы я это мог проверить, провести тесты, найти доказательства виртуализации и т.п., чем отговаривайте меня выставляя меня дурачком.



Я на 80% уверен что имеет место быть экспуатации blueborn, все следы указывают именно на нее. Если вы знаете о методиках проверки использования данной уязвимости лучше сообщите как я могу это проверить.



На подобных форумах часто пишут не принимать помощь от незнакомцев. Пока что вы выглядите именно так, пытаясь меня переубедить в отсутсвии проблемы


На текущий момент были предприняты следующие действия для снижения рисков:
отключение виртуализации в bios, отключение работы всех ядер и работа в однопоточном(одноядерном) режиме. Скажите в этот раз лучше чтонибудь полезное, а то мы уже 4 страницы нафлудили.


даже конкретно сейчас на форуме у меня висит предупреждение что соединение не защищено по причине присутствия на странице favicon тянущегося по протоколу http. А так же заблокированную попытку установки аддона с этого сайта.

на это тоже найдете свою отмазку?
Изменено: Сложная Капча - 15.11.2020 19:30:23
Кольридж, Сэмюэл Тейлор
Кубла Хан, или Видение во сне...

In Xanadu did Kubla Khan
A stately pleasure-dome decree :
Where Alph, the sacred river, ran
Through caverns measureless to man
Down to a sunless sea.
So twice five miles of fertile ground
With walls and towers were girdled round :
And there were gardens bright with sinuous rills,
Where blossomed many an incense-bearing tree ;
And here were forests ancient as the hills,
Enfolding sunny spots of greenery.


But oh, that deep romantic chasm which slanted
Down the green hill athwart a cedarn cover!
A savage place, as holy and enchanted
As e'er beneath a waning moon was haunted
By woman wailing for her demon-lover!
And fr om this chasm, with ceaseless turmoil seething,
As if this earth in fast thick pants were breathing,
A mighty fountain momently was forced
Amid whose swift half-intermitted burst
Huge fragments vaulted like rebounding hail,
Or chaffy grain beneath the thresher's flail!
And 'mid these dancing rocks at once and ever,
It flung up momently the sacred river.
Five miles meandering with a mazy motion
Through wood and dale the sacred river ran,
Then reached the caverns measureless to man,
And sank in tumult to a lifeless ocean.
And 'mid this tumult Kubla heard from far
Ancestral voices prophesying war!


The shadow of the dome of pleasure
Floated midway on the waves ;
Wh ere was heard the mingled measure
From the fountain and the caves.
It was a miracle of rare device,
A sunny pleasure-dome with caves of ice!
A damsel with a dulcimer
In a vision once I saw :
It was an Abyssinian maid,
And on her dulcimer she played,
Singing of Mount Abora.
Could I revive within me
Her symphony and song,
To such a deep delight 'twould win me,
That with music loud and long,
I would build that dome in air,
That sunny dome ! those caves of ice !
And all who heard should see them there,
And all should cry, Beware ! Beware !
His flashing eyes, his floating hair !
Weave a circle round him thrice,
And close your eyes with holy dread,
For he on honey-dew hath fed,
And drunk the milk of Paradise.

-----------------------------------------

Кубла Хан, или Видение во сне
Перевод К.Д. Бальмонта


В стране Ксанад благословенной
Дворец построил Кубла Хан,
Где Альф бежит, поток священный,
Сквозь мглу пещер гигантских, пенный,
Впадает в сонный океан.


На десять миль оградой стен и башен
Оазис плодородный окружен,
Садами и ручьями он украшен.
В нем фимиам цветы струят сквозь сон,
И древний лес, роскошен и печален,
Блистает там воздушностью прогалин.


Но между кедров, полных тишиной,
Расщелина по склону ниспадала.
О, никогда под бледною луной
Так пышен не был тот уют лесной,


Где женщина о демоне рыдала.
Пленительное место! Из него,
В кипенье беспрерывного волненья,
Земля, как бы не в силах своего
Сдержать неумолимого мученья,
Роняла вниз обломки, точно звенья
Тяжелой цепи: между этих скал,
Где камень с камнем бешено плясал,
Рождалося внезапное теченье,
Поток священный быстро воды мчал,
И на пять миль, изгибами излучин,
Поток бежал, пронзив лесной туман,
И вдруг, как бы усилием замучен,
Сквозь мглу пещер, где мрак от влаги звучен,
В безжизненный впадал он океан.
И из пещер, где человек не мерял
Ни призрачный объем, ни глубину,
Рождались крики: вняв им, Кубла верил,
Что возвещают праотцы войну.


И тень чертогов наслажденья
Плыла по глади влажных сфер,
И стройный гул вставал от пенья,
И странно-слитен был размер
В напеве влаги и пещер.
Какое странное виденье --
Дворец любви и наслажденья
Меж вечных льдов и влажных сфер.


Стройно-звучные напевы
Раз услышал я во сне,
Абиссинской нежной девы,
Певшей в ясной тишине,
Под созвучья гуслей сонных,
Многопевных, многозвонных,
Ливших зов струны к струне.
О, когда б я вспомнил взоры
Девы, певшей мне во сне
О Горе святой Аборы,
Дух мой вспыхнул бы в огне,
Все возможно было б мне.
В полнозвучные размеры
Заключить тогда б я мог
Эти льдистые пещеры,
Этот солнечный чертог


Их все бы ясно увидали
Над зыбью, полной звонов, дали,
И крик пронесся б, как гроза:
Сюда, скорей сюда, глядите,
О, как горят его глаза!
Пред песнопевцем взор склоните,
И этой грезы слыша звон,
Сомкнемся тесным хороводом,
Затем что он воскормлен медом
И млеком рая напоен!
Цитата
santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
santy, хочу услышать ваше мнение тоже.
Может быть вы со стороны своего более квалифицированного взгляда можете дать мне советы по детектированию и поиску? Проверку виртуализации может провести как-то можно? Или поиск дропера в условиях ограниченного исполнения и логирования можно произвести?
а то когда я попросил прямого совета у этого товарища по проведению тестов - у него внезапно муза в одном месте заиграла, и убежал в неизвестность избегая ответа.

Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) я писал выше

Я кидаю вам логи с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена,диски уже по 2 раза форматировались в GPT и т.д., и т.п...., т.е. провести тесты на контрольной заражённой машине уже не могу, пока не накачу ОС по новой. Но что и где мне в первую очередь искать, чтобы поймать улики на чистой системе?

Цитата
Сложная Капча написал:
santy , хочу услышать ваше мнение тоже.
нужен образ вашей скомпроментированной (по вашему мнению) системы, созданный из под загрузочного диска winpe&uVS.
ссылки на файл iso-образа и как его развернуть на USB-диск вам были предоставлены.
(по тексту - много сообщений, клиническая картина непонятна, а ваши сообщения пока что мало чего не проясняют)

---------
BlueBorne:
судя по описанию:
По словам исследователей безопасности из компании Armis[1], обнаруживших уязвимости, проблемы BlueBorne невозможно обнаружить и исправить стандартными методами, а для эксплуатации багов злоумышленнику не требуется ни взаимодействие с пользователем, ни сопряжение с целевым устройством. Единственная необходимость — включённый Bluetooth на устройстве «жертвы». Уязвимости затрагивают практически все типы устройств, от смартфонов, ноутбуков и носимых гаджетов до IoT-девайсов и «умных» автомобилей.

CVE-2017-8628[8] — Логическая уязвимость в Windows (Bluetooth Pineapple);

Windows

Все версии Windows, начиная с Vista, подвержены «Bluetooth Pineapple» уязвимости, которая позволяет произвести атаку Man-in-The-Middle (CVE-2017-8628[8]).

   Уязвимость удалённого выполнения кода № 1 (CVE-2017-0781[5])

Уязвимость присутствует в службе протокола BNEP (Bluetooth Network Encapsulation Protocol), который позволяет обмениваться Интернетом через соединение Bluetooth (модем). Из-за недостатка в службе BNEP хакер может вызвать повреждение оперативной памяти, которое позволяет ему запускать код на устройстве, предоставляя ему полный контроль. Из-за отсутствия правильных проверок авторизации запуск этой уязвимости не требует взаимодействия с пользователем, проверки подлинности или сопряжения, поэтому целевой пользователь не знает о текущей атаке.

Атака BlueBorne на Windows

   Уязвимость Man-in-The-Middle № 2 (CVE-2017-8628[8])

Эта уязвимость идентична найденной в операционной системе Android, и влияет на обе системы, так как они разделяют одни и те же принципы реализации протокола Bluetooth. Данная уязвимость находится в стеке Bluetooth и позволяет злоумышленнику создать вредоносный сетевой интерфейс на устройстве жертвы, заново настроить IP-маршрутизацию и заставить устройство передавать через него все сообщения. Эта атака не требует взаимодействия с пользователем, проверки подлинности или сопряжения, что делает её практически невидимой.

-------
Компания Microsoft выпустила обновления для системы безопасности поддерживаемых версий (начиная с Windows 7)

Рекомендуется полное отключение Bluetooth до тех пор, пока не будет установлен патч для соответствующего устройства. Использование Bluetooth только при необходимости позволит существенно сузить возможности хакеров для взлома.
Сложная Капча, Вы просто начитались всякой хрени в сети и решили это примерить на Себя.
Из всего, того то Вы привели "якобы" в подтверждение, всё это чушь - почитайте хотя бы за SDN, прежде чем утверждать за подмену адресов.
Если не хотите никакой "якобы" слежки от программного обеспечения - просто не подключайтесь к глобальной сети...
Читают тему (гостей: 3)