Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)
Постараемся помочь :) 1) Для работы майнера ему требуется активное сетевое подключение. Иначе создатель\дистрибьютор зловреда не сможет на нём заработать. Отключить сеть - нагрузка на Процессор/видеокарту падает - верный признак майна. Значит смотрим какой файл работает с сетью. в uVS есть: Категории ( по умолчанию программа отображает категорию: Подозрительные и вирусы ) Нужно переключиться на категорию: Сетевая Активность.
2) Есть календарь = отсев по дате создания файла. Появилась проблема - значит это новая проблема и отсев по дате самое то. * Следует учесть, что некоторые вирусы маскируются и подменяю время своего создания на более раннюю дату. ( на любую ) Юмор в том, что датой создания может быть указан 1998 год и т.д. Такой явный косяк позволяет найти угрозу... Однако злокодеры не так часто радуют своими багами ( ошибками )
3) Применяем чек бокс ( фильтр ) не только по дате но можно применить: Скрыть известные [V]
4) Смотрим в Инфо. ( Информацию по файлу ) и уровень нагрузки на ЦП ( CPU ) и Графического Ускорителя\Видеокарты ( GPU ) Информацию можно посмотреть как по одному файлу, так и по всем активным файлам. Подключаем сеть ( чтобы спровоцировать вирус на активность ) В меню: Запустить > Просмотр активности процессов ( Alt+D ) Запустите и понаблюдайте.
5) Смотрим имя файла. Часто это имя задаётся рандомно ( произвольно ) В древности это помогало уйти от обнаружения антивирусами ( как один из элементов, чтобы затруднить обнаружение ) Пример: $I48QTLY.EXE HNSH4936.TMP JVAPZCHZVRFVHF1SVKP.EXE EQTV3AROPWXS17X8VQ.EXE
Как правило производителю программ\софта и в голову не придёт так называть исполняемый файл своей программы ( хотя и такое бывает если автору\разработчику лень самому придумывать наименования ) так, что внимание ! внимание ! ахтунг !
Сейчас чаще дают имена похожие на имена системных файлов. ( или на имена папок каталогов ) Оригинал: svchost.exe; lsass.exe ; csrss.exe Вирус: svchоst.exe; lsаss.exe ; сsrss.exe На первый взгляд одно и тоже ? На самом деле ( как известно ) есть Кириллические символы и есть Латиница. И есть _визуально общие символы: a; c; o; p; e;... Или с именем всё нормально но файл запускается не из системного каталога. C:\PROGRAMDATA\RWDSLANPROJ\lsass.exe Соответственно рандомное наименование может быть не только у файла но и у папки. 6) Файл должен как-то запускаться. Вариантов много. Через модифицированный ярлык от любой программы. ( например Браузера ) В параметрах ярлыка просто прописывается соответствующая команда. Через назначенные задания - категория: Задачи. Путём закидывания ярлыков или самих исполняемых файлов в папки автозапуска. \PROGRAMS\STARTUP\ \START MENU\PROGRAMS\STARTUP\ и т.д. Через десятки ключей реестра и прочее.
7) Подозрительный путь до файла: например одна из папок \TEMP\ или C:\$RECYCLE.BIN\S-1-5-21-739754699-733959739-896284075-1000\$I590790.EXE т.е. левый путь. \$RECYCLE.BIN\ \APPDATA\LOCAL\ \APPDATA\ROAMING\ \APPDOWNLOADS\ \APPLICATION DATA\
9) Отсутствие у файла ЭЦП ( Электронно Цифровой подписи ) Либо левая подпись. типа: подписано """Ask-Integrator"", Ltd." подписано "Search Results, LLC" * Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6 ( при доступе к сети проверка занимает больше времени - но более эффективна ) НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных. Типа: Действительна, подписано Ask.com Действительна, подписано Babylon Ltd. и т.д. Нужно создать свой белый список ( безопасные ЭЦП ) Для этого в файл настроек\конфигурации: settings.ini ( в папке с uVS ) Прописать
; Включить поддержку белого списка ЭЦП. (по умолчанию 0) ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ; ; ; кодировке. ; Одна строка - одно имя, регистр важен. bUseWDSList = 1 Дальше зайти в свойства файла найти строку и добавить в белый список ( список сохраняется в файл: wdsl )
10) Левая программа - Вы её не устанавливали - но в списке установленных она есть... ( просочилась) Программу проверяем - ищем отзывы в сети, файлы проверяем на V.T
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... ) После чего нажмите: Принять изменения ( Клавиша в меню окна )
11) Главные принципы вирусоборца ( 25 правил волшебника :) Не можешь помочь НЕ навреди. Не уверен не влезай\не трогай Информации не бывает мало: Ищи её в сети, спрашивай себя, спрашивай пациента, спроси другого хелпера. Убедись, что вся информация по файлу\объекту тобой изучена. Не следует торопиться: "Поспешишь..." Экспериментировать только тогда, когда не работает стандартная схема обнаружения\лечения. Экспериментировать только на своём PC и только тогда, когда уверен, что сможешь исправить последствия. а) Иметь несколько копий системного реестра. б) Желательно работать на виртуальной машине в) Иметь ( на отдельном) носителе резервную копию\образ системы г) Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами. -------------------
Если какой пункт слишком сложен для изучения\понимания пропускаем и усваиваем то, что доступно )
-------------------
12) Раньше Баннеры для своего запуска часто использовали ветку реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В активной системе она выглядит так: HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run virus.exe Где S-1-5-21 идентификатор безопасности группы администратора.
Можно безбоязненно очищать: Временные ключи автозапуска (например, RunOnce и RunOnceEx). По идее такой ключ должен использоваться как одноразовый. ( например для обновления программы ) ( до перезагрузки PC и потом удаляться ) Сам по себе такой временный ключ подозрительная штука...
13) пара старых тем:
14) При обнаружении вируса обращаем внимание на число файлов в папке. У нормальной программы файлов много,а у вируса как правило 1-3
16) Файл может иметь " не нужный " статус: Скрытый\Системный. Это способ ухода от _визуального обнаружения. Человек ищет но не видит. А вот программы типа uVS видят...
17) Нормальный файл должен взаимодействовать с пользователем - отображать меню, показывать иконки\значки, текстовые комментарии. Вирусу как правило это не нужно т.е. файл не будет содержать лишней нагрузки\информации. Смотрим Инфо. в uVS Или работаем с доп программой типа: Resource Hacker Чем больше вирус содержит информации тем проще антивирусу его опознать - зацепиться за некий повторяющийся от вируса к вирусу ресурс. Да и вес вируса важен. ( быстрее можно загрузить\запустить )
18) Вирус старается работать\запускаться с максимальными правами - чтобы иметь возможность вносить изменения в работу системы. Может сам себя защищать от удаления\изменения\выгрузки из оперативной памяти\защищает ключи реестра. ( что не типично для обычной программы ) Файл вируса как правило упакован - чтобы затруднить его анализ. ( есть бесплатные программы с открытым исходным кодом которые легко читаются )
19) Должен производиться _комплексный анализ. т.е. каждое отдельно взятое значение возможно не несёт угрозы... Но определённое их сочетание... по сути А+В+С = угроза.
20) Скопирую часть своей статьи с pchelpforum.ru
Поговорим о проверке файла. ------
Как проверить файл... На первый взгляд это просто. Как правило файл проверяется на сервисе: Вот вы нашли файл и проверили... Файл судя по результату проверки чист... Но так, ли это на самом деле ? ------- После проверки файла откройте вкладку: Дополнительные сведения. Найдите: First submission 2015-09-18 06:48:14 UTC (2 недель, 4 дней назад) ( впервые файл загружен\проверен дата... ) Last submission 2015-10-03 08:28:23 UTC (3 дней, 9 часов назад)
По этой записи\дате вы можете видеть проверяли, ли файл раньше, или нет. О файле говорит его история... Если файл проверяли месяц, или год назад и проверили сейчас - и по результату проверки чисто... то и сам файл с вероятностью близкой к 100% чист. Файлы проверяют в антивирусных компаниях, а на это нужно время... -------- Также важное значение имеют поля: Publisher ( Издатель\производитель продукта ) Например это Nero AG и поле Signature verification ( Проверка электронно цифровой подписи ) ( ЭЦП ) ) на вкладке: Сведения о файле. Такому _подписанному _известным поставщиком файла\у - также можно доверять. -------- Но когда файл подписан неизвестным вам издателем стоит задуматься и найти доп. информацию. Что модно сделать ? Для примера возьмём файл программы Nero: NeroStartSmart.exe
Проверка на V.T: Но нам этого показалась мало и мы решили получить дополнительные сведения. На вкладке: Дополнительные сведения копируем данные по SHA1 файла ( к примеру) это: 7b5ea21e40c30879a129045978e3b0a5f089eaee
------------------------------ Часто бывает так, что часть файлов производителя чисты, а часть представляют ( могут представлять ) опасность. Вот и получается, что паренёк то хороший... но вот его семейство плохое... Поэтому стоит задуматься о целесообразности присутствия паренька на вашем PC.
21) Атрибуты. R - Атрибут "Только чтение". A - Атрибут "Архивный". S - Атрибут "Системный". H - Атрибут "Скрытый".
Следует помнить, что и легальные\известные файлы могут иметь такие атрибуты. Ведь системный файл должен быть защищён от случайного\преднамеренного повреждения\изменения\заражения\подмены.
22) Пример венерического заболевания. ( как известно венерические заболевания придумали итальянские врачи :) и стали хорошо на этом зарабатывать. ;)
Полное имя C:\USERS\NO0N3PRO\APPDATA\ROAMING\IDENTITIES\CODEXI\STEAM Имя файла STEAM Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
2019-08-20
ESET-NOD32 a variant of Win32/CoinMiner.BF potentially unwanted Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.ykd
Удовлетворяет критериям ****
Сохраненная информация на момент создания образа Статус в автозапуске File_Id 54900BD6152000 Linker 2.22 Размер 1437836 байт Создан 23.12.2014 в 19:13:21 Изменен 23.12.2014 в 19:13:21
TimeStamp 16.12.2014 в 10:39:18 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка CmdLine OVERBTC123. SHA1 4047DADA8D8734A2C49548A6FD3A59DEFD305DBA MD5 F9E9386140565D3D9FA41B04563F57C9
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
Что должно насторожить ? а) Имя файла - у файла нет видимого расширения. это просто: STEAM не STEAM.exe б) Рандомное\произвольное наименование каталога: \NO0N3PRO\ в) Объект в автозапуске т.е. не просто валяется на диске. г) Проверка на V.T. показывает, что это майнер. ( или, что вернее переделка легального файла для майнинга ) д) Обращает на себя внимание время создания ( хотя файл реально старый ) ж)Работа с командной строкой и обращение к другому неизвестному\подозрительному файлу без расширения к OVERBTC123. з)Запуск через задачу в планировщике заданий: TASKS и)Подозрительный путь: \APPDATA\ROAMING\
Полное имя OVERBTC123. Имя файла OVERBTC123. Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям ***
Сохраненная информация на момент создания образа Статус в автозапуске
Доп. информация на момент обновления списка CmdLine OVERBTC123.
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
Спасибо. Я уже вроде начал немного лучше в природе вирусов. Очень полезная для меня информация.
Цитата
RP55 RP55 написал: Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами.
у меня ноутбук без ОД( В таком случае нормально будет создать несколько загрузочных флешек?)) По поводу копий системного реестра, не разбираюсь, щас пойду гуглить) Всего хорошего)
29) Короткие имена. В расчёте на плохое зрение\невнимательность\усталость\неопытность оператора проводящего лечение. В расчёте на недоработки антивирусов\сканеров. ..exe _.exe Имена с пробелами: . ..exe _ .exe
