22) Пример венерического заболевания. ( как известно венерические заболевания придумали итальянские врачи :) и стали хорошо на этом зарабатывать. ;)

Полное имя                  C:\USERS\NO0N3PRO\APPDATA\ROAMING\IDENTITIES\CODEXI\STEAM
Имя файла                   STEAM
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2019-08-20

ESET-NOD32                  a variant of Win32/CoinMiner.BF potentially unwanted
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.ykd

                           
Удовлетворяет критериям   ****
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     54900BD6152000
Linker                      2.22
Размер                      1437836 байт
Создан                      23.12.2014 в 19:13:21
Изменен                     23.12.2014 в 19:13:21
                           
TimeStamp                   16.12.2014 в 10:39:18
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
SHA1                        4047DADA8D8734A2C49548A6FD3A59DEFD305DBA
MD5                         F9E9386140565D3D9FA41B04563F57C9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
                           
Что должно насторожить ?
а) Имя файла - у файла нет видимого расширения.
это просто: STEAM
не STEAM.exe
б) Рандомное\произвольное наименование каталога: \NO0N3PRO\
в) Объект  в автозапуске т.е. не просто валяется на диске.
г) Проверка на V.T. показывает, что это майнер. ( или, что вернее переделка легального файла для майнинга )
д) Обращает на себя внимание время создания ( хотя файл реально старый )
ж)Работа с командной строкой и обращение к другому неизвестному\подозрительному файлу без расширения к OVERBTC123.
з)Запуск через задачу в планировщике заданий: TASKS
и)Подозрительный путь: \APPDATA\ROAMING\

Полное имя                  OVERBTC123.
Имя файла                   OVERBTC123.
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    ***
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91

21) Атрибуты.
R - Атрибут "Только чтение".
A - Атрибут "Архивный".
S - Атрибут "Системный".
H - Атрибут "Скрытый".

Следует помнить, что и легальные\известные файлы могут иметь такие атрибуты.
Ведь системный файл должен быть защищён от случайного\преднамеренного повреждения\изменения\заражения\подмены.

16) Файл может иметь " не нужный " статус: Скрытый\Системный.
Это способ ухода от _визуального обнаружения.
Человек ищет но не видит. А вот программы типа uVS видят...

17) Нормальный файл должен взаимодействовать с пользователем - отображать меню, показывать иконки\значки, текстовые комментарии.
Вирусу как правило это не нужно т.е. файл не будет содержать лишней нагрузки\информации.
Смотрим Инфо. в uVS
Или работаем с доп программой типа: Resource Hacker
Чем больше вирус содержит информации тем проще антивирусу его опознать - зацепиться за некий повторяющийся от вируса к вирусу ресурс.
Да и вес вируса важен. ( быстрее можно загрузить\запустить )

18) Вирус старается работать\запускаться с максимальными правами - чтобы иметь возможность вносить изменения в работу системы.
Может сам себя защищать от удаления\изменения\выгрузки из оперативной памяти\защищает ключи реестра. ( что не типично для обычной программы )
Файл вируса как правило упакован - чтобы затруднить его анализ. ( есть бесплатные программы с открытым исходным кодом которые легко читаются )

19) Должен производиться _комплексный анализ.
т.е. каждое отдельно взятое значение возможно не несёт угрозы...
Но определённое их сочетание...
по сути А+В+С = угроза.

20) Скопирую часть своей статьи с pchelpforum.ru

Поговорим о проверке файла.
------

Как проверить файл...
На первый взгляд это просто.
Как правило файл проверяется на сервисе: https://www.virustotal.com/
Вот вы нашли файл и проверили...
Файл судя по результату проверки чист...
Но так, ли это на самом деле ?
-------
После проверки файла откройте вкладку: Дополнительные сведения.
Найдите:
First submission 2015-09-18 06:48:14 UTC (2 недель, 4 дней назад) ( впервые файл загружен\проверен дата... )
Last submission 2015-10-03 08:28:23 UTC (3 дней, 9 часов назад)

По этой записи\дате вы можете видеть проверяли, ли файл раньше, или нет.
О файле говорит его история...
Если файл проверяли месяц, или год назад и проверили сейчас - и по результату проверки чисто...
то и сам файл с вероятностью близкой к 100% чист.
Файлы проверяют в антивирусных компаниях, а на это нужно время...
--------
Также важное значение имеют поля:
Publisher ( Издатель\производитель продукта )
Например это Nero AG
и
поле Signature verification ( Проверка электронно цифровой подписи ) ( ЭЦП ) )
на вкладке: Сведения о файле.
Такому _подписанному _известным поставщиком файла\у - также можно доверять.
--------
Но когда файл подписан неизвестным вам издателем стоит задуматься и найти доп. информацию.
Что модно сделать ?
Для примера возьмём файл программы Nero: NeroStartSmart.exe

Проверка на V.T: https://www.virustotal.com/gui/file/417b7c070eb8feeca5026deba6fd09de774ca87bb21ed37­dfb1432809ec1c208/detection
Но нам этого показалась мало и мы решили получить дополнительные сведения.
На вкладке: Дополнительные сведения
копируем данные по SHA1 файла ( к примеру) это: 7b5ea21e40c30879a129045978e3b0a5f089eaee

------------------------------
Часто бывает так, что часть файлов производителя чисты, а часть представляют ( могут представлять ) опасность.
Вот и получается, что паренёк то хороший...
но вот его семейство плохое...
Поэтому стоит задуматься о целесообразности присутствия паренька на вашем PC.

11) Главные принципы вирусоборца ( 25 правил волшебника :)
Не можешь помочь НЕ навреди.
Не уверен не влезай\не трогай
Информации не бывает мало: Ищи её в сети, спрашивай себя, спрашивай пациента, спроси другого хелпера.
Убедись, что вся информация по файлу\объекту тобой изучена.
Не следует торопиться: "Поспешишь..."
Экспериментировать только тогда, когда не работает стандартная схема обнаружения\лечения.
Экспериментировать только на своём PC и только тогда, когда уверен, что сможешь исправить последствия.
а) Иметь несколько копий системного реестра. б) Желательно работать на виртуальной машине в) Иметь ( на отдельном) носителе резервную копию\образ системы г) Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами.
-------------------

Если какой пункт слишком сложен для изучения\понимания пропускаем и усваиваем то, что доступно )

-------------------

12) Раньше Баннеры для своего запуска часто использовали ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run

В активной системе она выглядит так:
HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run   virus.exe
Где S-1-5-21 идентификатор безопасности группы администратора.

Можно безбоязненно очищать:
Временные ключи автозапуска (например, RunOnce и RunOnceEx).
По идее такой ключ должен использоваться как одноразовый. ( например для обновления программы ) ( до перезагрузки PC  и потом удаляться )
Сам по себе такой временный ключ подозрительная штука...

13) пара старых тем:
http://pchelpforum.ru/f26/t94635/
http://pchelpforum.ru/f26/t141222/


14) При обнаружении вируса обращаем внимание на число файлов в папке.
У нормальной программы файлов много,а у вируса как правило 1-3

15) По поиску вирусов: http://datadump.ru/virus-detection/

Добрый день.

Постараемся помочь :)
1) Для работы майнера  ему требуется активное сетевое подключение.
Иначе создатель\дистрибьютор зловреда не сможет на нём заработать.
Отключить сеть - нагрузка на Процессор/видеокарту падает - верный признак майна.
Значит смотрим какой файл работает с сетью.
в uVS есть: Категории ( по умолчанию программа отображает категорию: Подозрительные и вирусы )
Нужно переключиться на категорию: Сетевая Активность.

2) Есть календарь = отсев по дате создания файла.
Появилась проблема - значит это новая проблема и отсев по дате самое то.
* Следует учесть, что некоторые вирусы маскируются и подменяю время своего создания на более раннюю дату. ( на любую )
Юмор в том, что датой создания может быть указан 1998 год и т.д.
Такой явный косяк позволяет найти угрозу... Однако злокодеры не так часто радуют своими багами ( ошибками )

3) Применяем чек бокс ( фильтр ) не только по дате но можно применить: Скрыть известные [V]

4) Смотрим в Инфо. ( Информацию по файлу ) и уровень нагрузки на ЦП ( CPU ) и Графического Ускорителя\Видеокарты ( GPU )
Информацию можно посмотреть как по одному файлу, так и по всем активным файлам.
Подключаем сеть ( чтобы спровоцировать вирус на активность )
В меню: Запустить >  Просмотр активности процессов ( Alt+D )
Запустите и понаблюдайте.

5) Смотрим имя файла. Часто это имя задаётся рандомно ( произвольно )
В древности это помогало уйти от обнаружения антивирусами ( как один из элементов, чтобы затруднить обнаружение )
Пример:
$I48QTLY.EXE
HNSH4936.TMP
JVAPZCHZVRFVHF1SVKP.EXE
EQTV3AROPWXS17X8VQ.EXE

Как правило производителю программ\софта и в голову не придёт так называть исполняемый файл своей программы ( хотя и такое бывает если автору\разработчику лень самому придумывать наименования ) так, что внимание ! внимание ! ахтунг !

Сейчас чаще дают имена похожие на имена системных файлов. ( или на имена папок каталогов )
Оригинал: svchost.exe; lsass.exe ; csrss.exe
Вирус: svchоst.exe; lsаss.exe ; сsrss.exe
На первый взгляд одно и тоже ?
На самом деле ( как известно ) есть Кириллические символы и есть Латиница.
И есть _визуально общие символы: a; c; o; p; e;...
Или с именем всё нормально но файл запускается не из системного каталога.
C:\PROGRAMDATA\RWDSLANPROJ\lsass.exe
Соответственно рандомное наименование может быть не только у файла но и у папки.
6) Файл должен как-то запускаться.
Вариантов много.
Через модифицированный ярлык от любой программы. ( например Браузера )
В параметрах ярлыка просто прописывается соответствующая команда.
Через назначенные задания - категория: Задачи.
Путём закидывания ярлыков или самих исполняемых файлов в папки автозапуска.
\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\ и т.д.
Через десятки ключей реестра
и прочее.

7) Подозрительный путь до файла:
например одна из папок \TEMP\
или C:\$RECYCLE.BIN\S-1-5-21-739754699-733959739-896284075-1000\$I590790.EXE
т.е. левый путь.
\$RECYCLE.BIN\
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPDOWNLOADS\
\APPLICATION DATA\

8) Левое ( неизвестное ) расширение файла.
Двойное расширение файла типа:
.pdf.exe
.EXE.LNK
.LNK.EXE
.COM.EXE
.TMP.EXE
.exe.exe
.TXT.EXE
.ZIP.EXE
.RAR.EXE
.msi.exe
.sys.exe
.pdf.exe

9) Отсутствие у файла ЭЦП ( Электронно Цифровой подписи )
Либо левая подпись.
типа:
подписано """Ask-Integrator"", Ltd."
подписано "Search Results, LLC"
* Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6  ( при доступе к сети проверка занимает больше времени - но более эффективна )
НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных.
Типа:
Действительна, подписано Ask.com
Действительна, подписано Babylon Ltd.
и т.д.
Нужно создать свой белый список ( безопасные ЭЦП )
Для этого в файл настроек\конфигурации: settings.ini  ( в папке с uVS ) Прописать

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
Дальше зайти в свойства файла найти строку  и добавить в белый список ( список сохраняется в файл: wdsl  )

10) Левая программа - Вы её не устанавливали - но в списке установленных она есть... ( просочилась)
Программу проверяем - ищем отзывы в сети, файлы проверяем на V.T https://www.virustotal.com/gui/home/upload


И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )

[QUOTE]Александр Sherr написал:
Спасибо большое. То есть можно здесь на форуме создать тему: "как пользоваться uVS" и буду получать инструкции и тд? так как я совсем не разбираюсь в этой программе[/QUOTE]
Так смысл и состоит в изучении программы и как с её помощью удалять угрозы.
Вариантов два - или всю жизнь пользоваться сканерами\антивирусами и ждать когда вирус попадёт в базу... или научиться их находить и удалять самому.
Сложно.
Но главное это желание.
Так, что вам решать. :)

[QUOTE]Александр Sherr написал:
Если через uVS не указан производтель, то можно смело удалять ссылки вместе с файлом (или похожое) и это никак не навредит самой системе? [/QUOTE]

1) В системе Windows разработчики постарались и там сразу после чистой установки нет некоторых файлов.
2) Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6  ( при доступе к сети проверка занимает больше времени - но более эффективна )
НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных.
Типа:
Действительна, подписано Ask.com
Действительна, подписано Babylon Ltd.
и т.д.
Нужно создать свой белый список ( безопасные ЭЦП )
Для этого в файл настроек\конфигурации: settings.ini  ( в папке с uVS ) Прописать

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
Дальше зайти в свойсва файла найти строку с и добавить в белый список ( список сохраняется в файл: wdsl  )
3) Есть чек бок: Известные [V]
Есть чек бок: Проверенные ( здесь нужна база проверенных файлов с сайта производителя )

4) http://pchelpforum.ru/f26/t94635/
Если есть желание научиться работать с uVS  можете открыть здесь тему.
так как pchelpforum.ru  откинул ласты.

Александр
Если что - смотрите нагрузку в uVS
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна ) ( только не бейте системные  ;) )
О явно подозрительных сайтах пишите сюда: https://phishing.eset.com/report/rus
Перед установкой проверяйте файлы на V.T.: https://www.virustotal.com/   дайте отстояться программе пару недель - потом проверить повторно и можно устанавливать.
+
Можно почитать: http://pchelpforum.ru/f26/t141222/
:)

[QUOTE]Александр Sherr написал:
авира никогда ранее не была установлена[/QUOTE]
Вирус создал в системе кучу записей относящихся к антивирусом.
Это, как с тем сусликом :)

+
Если сами не меняли настройки Firewall выполните скрипт:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

FirewallRules: [{42927522-5648-4D1D-8206-0A3BC2A1D09A}] => (Block) LPort=445
FirewallRules: [{48E056DA-55B1-4BA9-9883-5442B11F9663}] => (Block) LPort=445
FirewallRules: [{B9A49B0D-0A72-4391-8B88-F79BB2FB84E2}] => (Block) LPort=139
FirewallRules: [{C9A333BC-E93F-455D-9E59-99093CA0F8CE}] => (Block) LPort=139
FirewallRules: [{E2D89D4C-A6DE-4C93-92C1-3AD42B2B6D98}] => (Allow) LPort=3389
FirewallRules: [{6E0F1E94-5C70-4D35-B1C7-475517990BD9}] => (Allow) LPort=3389
FirewallRules: [{C8698C86-B3DA-424D-B75C-EBCD178DC774}] => (Allow) LPort=9494
FirewallRules: [{D5E6FA70-EA55-4C07-96D7-3C29623DFCE7}] => (Allow) LPort=9494
FirewallRules: [{7E3E1CC9-AD86-4D12-BB8B-782ADE798A30}] => (Allow) LPort=9393
FirewallRules: [{86CE6150-80E9-4A97-B6C3-7CB5AEEE847E}] => (Allow) LPort=9393
FirewallRules: [{7E25D707-45EC-445B-AA26-AE2D5A4F25A9}] => (Allow) LPort=9393
FirewallRules: [{7FDA28D9-321B-4D02-A0C3-E3A56257ED66}] => (Allow) LPort=9494
FirewallRules: [{42A9355E-7513-4A88-AABD-8734031A210D}] => (Allow) LPort=9393
FirewallRules: [{4E8D179C-9CDD-4949-8FDF-8204E6D1BBC5}] => (Allow) LPort=9494

EmptyTemp:
Reboot:

[/code]