30 ) Закос под системные.
У системных файлов как известно есть своё легальное место.

C:\Windows\explorer.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\wusa.exe
C:\Windows\SysWOW64\userinit.exe

Файл с идентичным\одинаковым наименованием не может находиться в одном каталоге.
Значит придумывают другое место.
C:\WINDOWS\AC9642BE\SVCHSOT.EXE
C:\ProgramData\Application Data\Mozi\SVCHSOT.EXE

В диспетчере задач пользователь не видит путь ( если не смотреть доп. информацию ) - видит только имя файла.
Поэтому логично со стороны злокодеров подсунуть ему, что-то знакомое\привычное\родное\ручное :)
Что может быть привычнее svchost.exe ?
Кроме того svchost.exe может быть и 10 и 20 что затрудняет обнаружение.


31) Просматривая Инфо. файла также нужно обращать внимание на Поле производитель ( не путать с ЭЦП ):
TGBVOILFEGNNO
SSSSTYLE
Monetizer $
Global-Update
HC@ © 2020

Рандомное наименование ; Левое наименование ; явно рекламной направленности ; левый производитель ; не указан.


32) Спец символы в пути
C:\USERS\►►►►\APPDATA\ROAMING\EQTV3AROPWXS17X8VQ.EXE
C:\USERS\►►►►\APPDATA\ROAMING\JVAPZCHZVRFVHF1SVKP.EXE

33) Не идентичные системным имена, а только похожие. По легальному пути.
C:\Windows\SysWOW64\wussa.exe (s)
C:\Windows\SysWOW64\userlnit.exe (l)
C:\Windows\System32\ctfmon .exe ( )

34) Подмена системного файла на левый\вирус
Особое внимание на системные файлы если у Системный.exe в графе производитель будет указан Global-Update это явно подозрительно ;)
Отсутствие ЭЦП ( или самоподписанный\поддельный сертификат )
Удаляются\подменяются не все файлы подряд, а те  которые постоянно активны.
EXPLORER.EXE
SERVICES.EXE
и т.д.

35) Изменение параметров запуска системного файла.
файл со стартом системы по умолчанию не запускается...
Но, он нужен плохим дяденькам  чтобы  с его помощью запускать свой файл
Примеры:
Запуск через задачу\Task
Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
Через реестр:
HKCU\. .\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
т.е. легальный файл используется в деструктивных целях.

Поэтому удалется не сам файл, а левые записи\настройки\параметры к нему относящиеся.


36) Имитация Файла Антивируса.
Антивирус удаляется, а вместо него в процессах висят вирусные процессы.

37) Подделка\имитация\обманка.
Исполняемым файлам присваиваются привычные имена... имена известных папок\каталогов.
Windows.exe
Media.exe
Installer.exe
security.exe
Tasks.exe
Windows Defender.exe
Windows Media Player.exe

RECYCLED.EXE
RECYCLER.exe

38) Adware\рекламные программы.
\PROGRAM FILES (X86)\MYBROWSER
\PROGRAM FILES (X86)\SHOPPERPRO
\СКИДКОЦЕНТР
\AMIGO.EXE
\SAFEBROWSER.EXE

Конечно не так часто им присваиваю такие звучные имена.

39) Вирус - Изменение расширения.
SVCHOST.VBS
EXPLORER.VBS
ctfmon.COM
userinit.COM
и т.д.
т.е. сохраняется имя файла, файл остаётся исполняемым, сохраняется родной\привычный путь до файла.

40) Присваивание каталогам имён реестра.
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

C:\HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

т.е. если просматривать лог то можно принять запись относящеюся к каталогу к записи реестра.
* Актуально для таких программ как FRST
как всегда расчёт на невнимательность + нестандартность решения.

41) Подделка имени или путей известных папок.

Она раз и:
\APPDATA\ROAMING\TEMPO\
\APPDATA\LOCAL\UPDATE\TEMP\

42) Присвоение папке расширения. ( якобы )
\APPLICATION DATA\BROWSERS\EXE.
\APPDATA\ROAMING\MICROSOFT\.REG
\APPDATA\ROAMING\MICROSOFT HELP\.RU

42) Подделка\замена значка файла.
У исполняемого файла может быть значок от документа: Microsoft Word ; Книги  ( якобы в формате ) PDF и т.д.

43) Дублирование.
\PROGRAMDATA\BROWSERS\BROWSER
\TIMETASKS\TIMETASK
\METABAR\METABAR

Добрый день. Спасибо большое, что продолжаете отвечать в этой теме. У меня возникла одна проблема. Когда я запуская программу, я обнаружил подозрительный обьект (https://prnt.sc/reok9t). Ранее никогда не был утсановлен McAffe.Я нажимаю правую кнопку мыши, выбираю удалить все ссылки на обьект. После этого выбираю применить изменения. Но после перезагрузки uVS опять вижу этот обьект. Стоит ли мне волноваться?

Добрый день.
Если по записи относящийся к  MCAFEE® WEBADVISOR хлопнуть два раза мышью ( или в меню - правой лапой мыши - Информация )
То увидим:

Полное имя                  C:\USERS\OLEXA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\8.0.0.37123_0\MCAFEE® WEBADVISOR
Имя файла                   MCAFEE® WEBADVISOR
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
                           
Extension_ID                fheoggkfdfchfphceeifdbepaooicaho
Extension_name              McAfee® WebAdvisor
Extension_state             2
Extension_version           8.0.0.37123
Extension_installDate       2020-02-25 11:10
Extension_description       McAfee® WebAdvisor
Extension_homepageURL       https://clients2.google.com/service/update2/crx
                           
------------
т.е. это расширение браузера. GOOGLE - CHROME
У McAfee есть бесплатные продукты и они их везде пихают.

Скрипт на удаление выглядит так.

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !




В певой строке в качестве примечания\комментария ( ; ) указана версия uVS ( версия того кто пишет скрипт ) и сайт разработчика.
Во второй указана версия операционной системы ( вашей )
v400c - запись также относиться к версии uVS
delref - команда удаления ссылок. ( некоторые расширения существуют только как текстовая запись в реестре системы )
после delref указан собственно сам объект к которому применена команда.
restart - перезагрузка PC
Перезагрузка нужна для фиксации изменений.
* Часть строк пишет оператор - часть программа добавляет автоматически.
------------
В uVS есть ещё команда: Обновить список.
т.е.
1) Отдать команду на удаление
2) Подтвердить ( работает с некоторыми командами - другие же сразу выполняются )
3) Обновите список или перезагрузите PC ( что предпочтительней )
* При обновление списка программа вновь производит сбор информации - повторно.

+
По какой причине uVS считает объект подозрительным ?
Имя содержит Non-ASCII символы, а именно символ:  ®
------------
Имя не содержит ( не указан ) тип расширения: MCAFEE® WEBADVISOR
Однако само по себе это в порядке вещей для расширений Хрома и браузеров на его движке ведь некоторые расширения существуют только как текстовая запись в реестре системы...
и расширения им ненужны.

Путь должен насторожить: \APPDATA\LOCAL\
но для браузера и некоторых других программа и это нормально.

Почему нет записи по SHA1 ( контрольной суммы файлов ? ) - это текст не файл.
значит и проверить по SHA1 на VirusTotal унас не получиться ( отсюда сложности с проверкой Хрома  )
-------------
Поэтому угрозой нужно считать только объект ( запись ) или файл по ряду\группе признаков.
A+B+C+D эту логику придумал Олег Зайцев разработчик AVZ ( Антивирус Олега Зайцева ) права на который впоследствии были выкуплены Kaspersky.

В программе есть возможность поиска.
Вместо категории: Подозрительные и вирусы выберите категорию.
Выберите поиск по имени, или пути файла.
Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель )