Нежелательные ПО , Есть ли подробная информация?

RSS
Приветствую. Хочу наконец-то разузнать касательно аббревиатур, которые пишет ЕСЕТ https://sun9-2.userapi.com/impf/rsW7a7uk11ddmOgFy8zRCCgNAfkNDQfzTEBmmg/5aOMEqWKCXo.jpg?size=855x449&...

что за UniDl.c и т.д.?

Что примечательно, защитник виндовс и доктор веб кюрейт на них не реагируют
Изменено: Подозрительный Человек - 24.02.2021 01:41:41

Ответы

Цитата
RP55 RP55 написал:
+
Цитата
 Подозрительный Человек  написал:
Вообще можно SID учеток или OСь изменять и если можно - то что произойдет?
Если менять SID : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

То нужно менять данные в ProfileImagePath.  т.е. путь\данные профиля должны соответствовать.
-------
Если что-то не то сделать: Не будет доступа к профилю и будут проблемы с доступом к файлам, проблемы с запуском программ ( у программ не будет нужных прав )

Если есть желание поэкспериментировать - то нужна копия реестра.
Ну теперь я знаю, что можно даже SID поменять. Это конечно даже немного смущает, я думал, что каждый SID уникален и по сути его сменить = сломать учетку, вплоть до того, что даже пароль не будет работать (учетка то получается уже новая)
Если у хирурга пациент спросит: Можно ли отрезать руку, а потом её пришить. Что ответит хирург ?
Он ответит: можно.
Какой вопрос такой и ответ.
---------
Вопрос был:  
Цитата
Подозрительный Человек написал:
А можно например SID пользователя изменить?
Ответ: Изменить можно - но с последствиями ( о чём выше сказано )
---------
По поводу пароля и прочее: Есть такие программы для сброса пароля, как: PassReset.
---------
И ещё, если человек не ориентируется - то он и вопросы не может задавать.
А вы вопросы задаёте правильно - значит ориентируетесь и понимаете о чём идёт речь.

т.е. проще говоря это и не вопросы вовсе.
Это просто: Уши Ван Гога
+
Если человек хочет - то ему нет преград.

https://youtu.be/jXUz9UTVgyk



...
Изменено: RP55 RP55 - 15.03.2021 13:42:11
Как избавится от скрытого майнера?
Цитата
Сергей Скляраев написал:
Как избавится от скрытого майнера?

Создать в соответствующем разделе тему: https://forum.esetnod32.ru/forum6/

Сделать логи:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Программа FRST должна создать два файла:  FRST.txt и Addition.txt
------
Или учиться работать с антивирусными программами.
Есть специальные курсы\школы - но нужна хорошая предварительная подготовка и терпение.
Цитата
Сергей Скляраев написал:
Как избавится от скрытого майнера?
https://qna.habr.com/q/632375 почитайте здесь
https://www.eset.com/ua-ru/support/information/entsiklopediya-ugroz/skrytyy-mayning/ и здесь для повышения грамотности, но здесь про майнинг сайты
https://lifehacker.ru/skrytyj-majner/ и вот

Это всё в случае, если не хотите через специальные программы, типо uVS решать проблему
Цитата
И ещё, если человек не ориентируется - то он и вопросы не может задавать.
А вы вопросы задаёте правильно - значит ориентируетесь и понимаете о чём идёт речь.

Не знаю, может быть. "Любопытство в купе со страхом" делают чудесные вещи - ты впитываешь информацию, как губка, а учишься задавать соответствующие вопросы. Мне кажется, если бы меня эта тема не "тревожила", я ы ничего не понял вообще
Цитата
Ответ: Изменить можно - но с последствиями ( о чём выше сказано )
Я вот в итоге насобирал такую информацию, может кому-то она будет полезна

Если мы говорим о учётке МС, то все тянется с сервера и локально нет смысла что-то менять, если даже кто-то получит доступ к старой информации э, которая осталась на диске. Пароль в системе хранится в зашифрованном виде. Sid по факту значения не имеет. Есть определенный токен, но его взломать невозможно никак. Просто меняете пароль на сайте и все. Такой взлом точно невозможен.
Локальную учётку взломать тоже не получится, так как она вместе с файлами будет стёрта, то есть ценность при доставании файлов имеет только какая-то информация в виде фото или документов.
Цитата
"Если менять SID : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. То нужно менять данные в ProfileImagePath.  т.е. путь\данные профиля должны соответствовать"
Мне вот тоже еще один умный человек дал такой же ответ примерно, вот он:

Да, так можно сделать, но учетка 99% когда-то сломается и скорее всего сразу, то есть не получится в нее войти и все переменные среды тоже ведь нужно менять. Если взломщик так сделает, то не сможет подключиться, так как софт, который будет работать, останется как бы старом аккаунте. Я пользовался ранее одним софтом по работе для удаленного подключения и он был очень чувствительным вообще к любому изменению в учетной записи. То есть, если даже был доступ полный к ПК, то не удавалось подключиться часто. Так что думаю, что тут на это точно не стоит обращать внимание.


В итоге я пришел к выводу, что если учетку через сид взломают - то "кулхацкеры" наверняка её "уничтожат" таким образом

Поправьте если не правильные выводы сделал, и также если информация, которую я получил, не совсем правиьна) Всё-таки Вы больше всех нас вместе взятых знаете, это не трудно понять по Вашим ответам с хорошим разъяснением  :D  
Единственно, что позволяет эффективно обнаруживать майнеры - это спец. программы. (  и лысая голова в танкистском шлеме и респираторе :)  )
Специализированные программы которые разработаны для борьбы с вирусами - на их разработку уходят годы и даже десятилетия...

А все эти "СТАТЬИ" где предлагаютЪ залезтЪ в реестр там найти СНАРКА майнера - это дурь.
В системе майнер  может изменить или создать десятки параметров. Изменить Групповые политики; Права доступа к папкам\каталогам; Заблокировать запуск некоторых программ\приложений; Изменить DNS; Создать свои задачи в планировщике; Прописать параметры запуска в WMI; Существовать в виде внедрённого процесса - т.е сам файл вируса искать бесполезно - его ( уже ) нет, а вирус\майнер работает.
Для обнаружения угрозы нужна информация: По времени создания файла, его цифровой подписи ( есть\нет и действительна ли она ); Один это файл или это группа файлов; Данные по нагрузку на ЦП ( CPU ) и Графического Ускорителя\видеокарты ( GPU ); Сетевая активность; Наличие\отсутствие скрытых процессов; По тому какие программы\скрипты запускались; Данные по внедрённым процессам; Программа должна видеть подмену символов кириллица\латиница типа: e\е; a\а; c\с ; x\х ; Или подмену системных файлов; Модифицированные ярлыки; Модифицированные ключи реестра и Подсказывать оператору...
-----------
По поводу взлома - это нужно обсуждать на xakep.ru и т.д.
Через уязвимости ломают всё, всё  что угодно - даже то, что раньше и теоретически было невозможно взломать.
Эта тема вне моих интересов.
-----------
Нет людей которые знают всё... Точнее они есть он, как правило это выпускники... школ VIII вида.

Ну и стих ( для настроения )

Даниил Хармс - Врун.

— Вы знаете?
Вы знаете?
Вы знаете?
Вы знаете?
Ну, конечно, знаете!
Ясно, что вы знаете!
Несомненно,
Несомненно,
Несомненно знаете!— Нет! Нет! Нет! Нет!
Мы не знаем ничего,
Не слыхали ничего,
Не слыхали, не видали
И не знаем
Ничего!— А вы знаете, что У?
А вы знаете, что ПА?
А вы знаете, что ПЫ?
Что у папы моего
Было сорок сыновей?
Было сорок здоровенных —
И не двадцать,
И не тридцать,-
Ровно сорок сыновей!— Ну! Ну! Ну! Ну!
Врешь! Врешь! Врешь! Врешь!
Еще двадцать,
Еще тридцать,
Ну еще туда-сюда,
А уж сорок,
Ровно сорок,-
Это просто ерунда!— А вы знаете, что СО?
А вы знаете, что БА?
А вы знаете, что КИ?
Что собаки-пустолайки
Научилися летать?
Научились точно птицы,-
Не как звери,
Не как рыбы,-
Точно ястребы летать!— Ну! Ну! Ну! Ну!
Врешь! Врешь! Врешь! Врешь!
Ну, как звери,
Ну, как рыбы,
Ну еще туда-сюда,
А как ястребы,
Как птицы,-
Это просто ерунда!— А вы знаете, что НА?
А вы знаете, что НЕ?
А вы знаете, что БЕ?
Что на небе
Вместо солнца
Скоро будет колесо?
Скоро будет золотое —
Не тарелка,
Не лепешка,-
А большое колесо!— Ну! Ну! Ну! Ну!
Врешь! Врешь! Врешь! Врешь!
Ну, тарелка,
Ну, лепешка,
Ну еще туда-сюда,
А уж если колесо —
Это просто ерунда!— А вы знаете, что ПОД?
А вы знаете, что МО?
А вы знаете, что РЕМ?
Что под морем-океаном
Часовой стоит с ружьем?— Ну! Ну! Ну! Ну!
Врешь! Врешь! Врешь! Врешь!
Ну, с дубинкой,
Ну, с метелкой,
Ну еще туда-сюда,
А с заряженным ружьем —
Это просто ерунда!— А вы знаете, что ДО?
А вы знаете, что НО?
А вы знаете, что СА?
Что до носа
Ни руками,
Ни ногами
Не достать,
Что до носа
Ни руками,
Ни ногами
Не доехать,
Не допрыгать,
Что до носа
Не достать!— Ну! Ну! Ну! Ну!
Врешь! Врешь! Врешь! Врешь!
Ну, доехать,
Ну, допрыгать,
Ну еще туда-сюда,
А достать его руками —
Это
Просто
Ерунда!
Доброго вечерочка, в общем кулстори. Помогали одному бедолаге вычистить компутатор от майнера. Победили в конце концов. Скинули жертве демо версию доктора веба и зачистили всю заразу https://ibb.co/8Bz6ZTB и всё бы ничего, но знаете, заметил я "вирус" RDPWinst.exe и таки вспомнил про такую интересную функцию в прошке, как
-->  ЭТА <-- и тут возникли вопросы:
1. А что собственно нужно знать злоумышленнику, чтобы удаленно войти через эту функцию? Например я уже узнал из гугла, что нужен логин и пароль учетки, в которую хочешь удаленно войти, но ведь это было бы совсем небезопасно, а значит наверняка что-то еще нужно знать, чтобы войти, верно?
2. Касательно безопасности, ходят слухи, что если например известен логин и пароль от учетки - то могут спокойно входить и при этом жертва совсем даже не будет знать, что у него уже кто-то лазает. Это правда? Если да, то как же тогда ну может, уведомления включать какие-то или чтобы где-то в трее показано было, что какой-то гад воспользовался удаленным рабочим столом без твоего ведома?
3. Если например касательно --> УДАЛЕННОГО ПОМОЩНИКА <--можно спать спокойно, так как там ты сам отсылает код (насколько я знаю из статей) и ты полностью контролируешь процесс, и если что-то не понравится -то просто отрубаешь доступ, и при этом к тебе уже не подключатся, так как код одноразовый (поправьте если чушь несу, я не проверял от слова совсем), и можно даже не бояться, если у тебя галочки стоят в "разрешить подключение", то как же тогда обрывать сессии в удаленном рабочем столе? Неужели ребутом?  :D  И в итоге например оставлять включенным --> ТУТ <-- я уже мягко говоря... опасаюсь, и это вот незнание приносит дискомфорт. Вспоминается фраза "знанием побеждается всякий страх", так вот... хочу перестать париться по этому вопросу, и знать, чем чревато например включение этой опции, проседает ли безопасность или нет?

Расскажите, чтобы я не загонялся по этому поводу. В моём случaе именно "БОЛЬШЕ знаeшь, крепче спишь", а не наоборот  ;)  
Изменено: Подозрительный Человек - 12.04.2021 00:30:27
Windows 10, Ubuntu, Chrome и Zoom были взломаны на соревновании Pwn2Own
Им никакие данные для учётных записей и т.д. не понадобились. И это на  актуальных системах - со всеми установленными обновлениями...

По поводу: Удаленных рабочих столов... За это отвечает: Служба удаленных рабочих столов.
Отключаете службу и всё.

И все другие потенциально опасные службы - тоже отключить ( в сети полно информации ) ( сделав для себя запись - что было отключено )

Майнеры нужно удалять на специализированных форумах. Мало его удалить - желательно ещё понять по какой причине произошло заражение и убрать нежелательные изменения внесённые в работу системы ( блокировка установки антивирусов, или смена DNS )

При удалённом подключении может быть: Запись в журнал событий неудачных попыток логина... ( аудит входа в систему )
Читаем статьи по криминалистике\экспертизе. ( поиск следов и т.д )

Многие специалисты по безопасности просто покупают кнопочные телефоны 2000 года и всё...
Вполне безопасно - если кончено рядом с вами не развернут поддельную станцию сотовой связи.
мда
Цитата
Майнеры нужно удалять на специализированных форумах. Мало его удалить - желательно ещё понять по какой причине произошло заражение и убрать нежелательные изменения внесённые в работу системы ( блокировка установки антивирусов, или смена DNS )
Майнер появился по той причине, что человек решил качать не с рутрекера, а с какой-то торрент-помойки. Скачивал он старенькую игру Рататуй. По итогу он не мог зайти ни на один сайт антивирусных компаний, а также на специализированные форумы (comms например), поэтому один из нас скинул ему через файлоообменник демо-версию доктора веба и сканирование началось. Как мы выяснили, дилемма по блокировке сайтов заключалась в том, что был отредактирован hosts, который мы вернули в исходное состояние уже после того, как пролечили компутатор с помощью антивируса (майнер и прочий зверинец оказались очень старыми, и без проблем детектились). В конечном итоге блокировки с сайтов сняли, ЦП перестал грузиться, hosts восстановлен (правда совет о том, как защитить hosts в будущем, я дать не смог, так как и сам не знаю). В общем кажись победили. Но на счёт смены DNS не проверяли, что-то никто не додумался, но вроде обошлось
Цитата
По поводу: Удаленных рабочих столов... За это отвечает: Служба удаленных рабочих столов.
Отключаете службу и всё.
И все другие потенциально опасные службы - тоже отключить ( в сети полно информации ) ( сделав для себя запись - что было отключено )
Да у меня вроде всё отключено) Я после установки винды все, что хоть какие-то намеки на уязвимость имели (по-моему мнению разумеется... может на самом деле не всё так страшно) - повырубал, включая удаленный реестр и удаленное управление windows (WS-management) главное чтобы "само" не включилось, или что-то постороннее не включило (не знаю, возможен ли такой вариант развития событий?). Эх... а вот если бы я поставить версию HOME - то этих служб бы не было, так как удаленный доступ есть только в PRO и Enterprise.
Читают тему (гостей: 3)