ESET стал детектировать uVS Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь 13.03.2023 21:10:31;Защита файловой системы в реальном времени;файл;E:\soft\avirus\Universal Virus Sniffer latest\ayedge;Suspicious Object;очищено удалением (после следующего перезапуска);NT AUTHORITY\система;Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Windows\System32\SearchProtocolHost.exe (D7F955DF3682F3C9F51F4CE16B4DA8E77EC1C198).;7B666291C6ABD8C367FF250DF205BBF08830CDE3;05.01.2023 12:20:12
А версия баз антивируса ? Однако мне кажется это не связано с базами... Это что-то в параметрах\настройках. ( ;Suspicious Object ) ---- По SHA1 ( проверка V.T ) со стороны ESET Нет реакции:
даже при отключении детектирования категории "подозрительные приложения" модуль запуска, который создается с пощью start.exe блокируется как Suspicious Object сейчас можно просто добавить хэш модуля 7B666291C6ABD8C367FF250DF205BBF08830CDE3 в исключение для любых обнаружений.
RP55 RP55 написал: bFixedName = 1; Запускать uVS с постоянным именем, для удаленных систем по постоянному пути.
Изменено: RP55 RP55 - 14.03.2023 13:04:23
не помогло, вернул прежний типа запуска bFixedName=0 помогают два исключения при включенных сбалансированных настройках: по хэшу: 7B666291C6ABD8C367FF250DF205BBF08830CDE3 и наименованию детекта: Win32/UniversalVirusSniffer.A
Через взломанные сайты распространяются вредоносное ПО под видом обновлений для Chrome
Поддельные ошибки обновления Chrome
Атака начинается с компрометации веб-сайтов для внедрения вредоносного кода JavaScript, который выполняет сценарии, когда пользователь посещает их. Эти сценарии будут загружать дополнительные сценарии в зависимости от того, является ли посетитель целевой аудиторией.
Эти вредоносные скрипты доставляются через службу Pinata IPFS (InterPlanetary File System), которая скрывает исходный сервер, на котором размещены файлы, что делает занесение в черный список неэффективным и сопротивляется удалению.
Если целевой посетитель просматривает сайт, сценарии отобразят поддельный экран ошибки Google Chrome, в котором будет указано, что не удалось установить автоматическое обновление, необходимое для продолжения просмотра сайта.
«Произошла ошибка при автоматическом обновлении Chrome. Пожалуйста, установите пакет обновления позже вручную или дождитесь следующего автоматического обновления», — говорится в поддельном сообщении об ошибке Chrome.
Затем сценарии автоматически загружают ZIP-файл с именем «release.zip», который замаскирован под обновление Chrome, которое должен установить пользователь.
Однако этот ZIP-файл содержит майнер Monero, который будет использовать ресурсы процессора устройства для добычи криптовалюты для злоумышленников.
При запуске вредоносное ПО копирует себя в папку C:\Program Files\Google\Chrome как «updater.exe», а затем запускает законный исполняемый файл для выполнения внедрения процесса и запуска прямо из памяти.
По данным VirusTotal, вредоносное ПО использует метод «BYOVD» (принеси свой собственный уязвимый драйвер) для использования уязвимости в законном WinRing0x64.sys для получения привилегий SYSTEM на устройстве.
Майнер сохраняется, добавляя запланированные задачи и выполняя изменения реестра, исключая себя из Защитника Windows.
Кроме того, он останавливает Центр обновления Windows и нарушает связь продуктов безопасности с их серверами, изменяя IP-адреса последних в файле HOSTS. Это препятствует обновлениям и обнаружению угроз и может даже полностью отключить антивирус.
После всех этих шагов майнер подключается к xmr.2miners[.]com и начинает майнить трудно отслеживаемую криптовалюту Monero (XMR).
Хотя некоторые из удаленных веб-сайтов являются японскими, NTT предупреждает, что недавнее включение дополнительных языков может указывать на то, что субъекты угрозы планируют расширить сферу своей деятельности, поэтому влияние кампании может вскоре возрасти.
Как всегда, никогда не устанавливайте обновления безопасности для установленного программного обеспечения на сторонних сайтах, а устанавливайте их только у разработчиков программного обеспечения или с помощью автоматических обновлений, встроенных в программу.
-----------------
-------------
Цитата
Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE Имя файла UPDATER.EXE Тек. статус ?ВИРУС? ВИРУС в автозапуске
2023-03-10 23:29 [2023-02-09] K7AntiVirus Trojan ( 0059bdd61 ) Symantec ML.Attribute.HighConfidence ESET-NOD32 a variant of Win64/Kryptik.DQA Kaspersky Trojan.Win32.Agent.xatoxm BitDefender Trojan.GenericKD.65483364 Avast Win64:Evo-gen [Trj] DrWeb Trojan.Siggen19.45027 Emsisoft Trojan.GenericKD.65483364 (B) Microsoft Trojan:Win64/CoinMiner.DC!MTB
Сохраненная информация на момент создания образа Статус в автозапуске File_Id 63DD6E43398000 Linker 2.38 Размер 3738624 байт Создан 03.03.2023 в 05:43:17 Изменен 03.03.2023 в 05:43:18
TimeStamp 03.02.2023 в 20:27:47 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка SHA1 0BBD1560602ACA4210660580C00B36B3726B0F63 MD5 FB6F76B4F93ACC6FCD026EB66652E939
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC Task \GoogleUpdateTaskMachineQC
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\Actions Actions "C:\Program Files\Google\Chrome\updater.exe" Задача создана 26.02.2023 в 22:34:55 Последний запуск 24.03.2023 в 12:04:26 Код ошибки 0x0
«Доктор Веб»: в пиратских сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел
Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками.
Злоумышленники распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.
-----------------
Цитата
Полное имя C:\WINDOWS\INSTALLER\ISCSICLI.EXE Имя файла ISCSICLI.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 6408C4D3D000 Linker 14.32 Размер 91880 байт Создан 15.03.2023 в 15:46:56 Изменен 08.03.2023 в 20:34:04
TimeStamp 08.03.2023 в 17:24:35 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Цифровая подпись Microsoft Windows
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен)
Доп. информация на момент обновления списка pid = 5644 DESKTOP-***\**** Процесс создан 15:11:01 [2023.05.24] Процесс завершен 15:11:07 [2023.05.24] CmdLine "C:\Windows\Installer\iscsicli.exe" parentid = 1348 C:\WINDOWS\SYSTEM32\SVCHOST.EXE SHA1 32C7B6629FABE6254431A558B57D30CD2F2D43D7 MD5 BFEC28E480DFC2814A2C762D0ADEE018
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION Task \Microsoft\Windows\License Manager\License Validation
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions Actions "%SystemDrive%\Windows\Installer\iscsicli.exe" Задача создана 15.03.2023 в 15:30:18 Последний запуск 24.05.2023 в 15:11:01 Код ошибки 0x1
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ DLL
Процессы на момент обновления списка Процесс C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]
Цитата
Полное имя \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE Имя файла RECOVERY.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную]
Доп. информация на момент обновления списка pid = 7488 DESKTOP-****\*** Процесс создан 15:11:05 [2023.05.24] Процесс завершен 15:11:06 [2023.05.24] CmdLine M:\EFI\Microsoft\Boot\recovery.exe parentid = 6424 C:\WINDOWS\SYSTEM32\CMD.EXE
