Вся активность - Форумы Anti-Malware.ru Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Earlier
  2. santy
    Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
  3. PR55.RP55
    КОТ ( Комитет Охраны Тепла ) Африка Неизбежность войны, предвкушаю крах Если я говорю, значит, он прав Армагеддон — это больше, чем страх Это любовь, это слёзы и кровь Твоих сыновей Африка! [Бридж] Твои волосы — как прутья Твои мысли — белый мел Я однажды не проснулся Оттого что я висел [Предприпев] Африка! На твоих руках Твоё солнце в моих глазах Африка! [Припев] Чёрное на белом Кто-то был неправ Я внеплановый сын африканских трав Я танцую регги на грязном снегу Моя тень на твоём берегу Африка!
  4. santy
    Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
  5. PR55.RP55
    " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию. ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны. 1. Соответствие критериям закона Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на 100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»: * Их владельцами являются *российские юридические лица*. * Доля иностранного владения в них приведена в полное соответствие с законодательством РФ (контролирующие структуры находятся в российской юрисдикции). 2. Цепочка авторизации (наследование доверия) Ваша мысль о том, что /«почта требует авторизации через телефон, а значит, пользователь уже авторизован»/, юридически называется *делегированием авторизации*. * Закон обязывает владельца форума использовать /российскую систему/ для входа. * Яндекс ID или VK ID — это и есть авторизационные информационные системы. * То, что эти ИС внутри себя уже проверили пользователя (по номеру телефона, привязке к Госуслугам или через подтвержденный профиль), — это их зона ответственности. Для вашего форума главное, что сама «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта Приведенная вами цитата точно описывает текущее положение дел: * *Закон не требует удалять профили* людей, вошедших когда-то через Google. * *Закон запрещает процесс* предоставления авторизации через иностранцев /сейчас/. * Чтобы не получить штраф (вступивший в силу по законопроекту № 1110676-8), владелец сайта должен закрыть техническую возможность кликнуть на «Вход через Google/Apple» и предложить пользователю привязать к старому аккаунту российский аналог (почту, телефон или Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.
  6. santy
    Актуально, по лучше перенести обсуждение в офтопик. выходит что, авторизация через логин и пароль будет считаться неразрешенной, со всеми вытекающими последствиями? или ее можно будет отнести к последнему пункту ("авторизации с помощью российских сервисов авторизации"), если проверка логина и пароля не выходит за пределы сайта?
  7. santy
    Актуально, по лучше перенести обсуждение в офтопик.
  8. PR55.RP55
    Несколько не по теме. Но для владельцев сайтов актуально... https://www.comss.ru/page.php?id=20880
  9. santy
    RP55, По п.10 уже есть реализация: в 5.04 o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ". Удаление такого объекта приведет к удалению переменной пользователя или к восстановлению значения по умолчанию если это системная переменная. по п. 8, для задач в uVS публикуется командная строка, но то что стали модифицировать известные задачи, это да, теперь придется за всеми задачами следить по п.7 В uVS есть указание на то что известный файл размещен по нестандартному пути, по идее тоже должно попасть в подозрительные. по п.6 Ранее уже сталкивались с подобным зловредом, здесь, https://chklst.ru/forum/discussion/76/kak-udalit-bekdor-crexv-i-vosstanovit-normalnuyu-rabotu-menyu-pusk-v-xpvistaseven
  10. demkd
    ИИ — полезная штука, но, к сожалению, бесплатные версии, как тот же Google Gemini Flash, тупенькие на уровне 12b моделей, делают колоссальное число ошибок по мелочам. Яблочко от яблони... Мало того, "новое" у них обычно старое с отставанием на год, и это в лучшем случае. Я сейчас как раз занимаюсь новой, уже 3-й версией своего "Клавиатурного помощника". В нём будет поддержка локального ИИ, горячих ИИ-клавиш, голосовых команд, голосового ввода и вспомогательной LLM для переводов, правки текста и т.п. Именно локального ИИ без необходимости обращения в сеть и сопутствующих утечек данных И это не для старого железа — нужно как минимум много памяти и современный процессор, в идеале хотя бы RTX 5060 Ti 16 ГБ в качестве ускорителя. А результат, ну, такой себе. ИИ слишком склонен ошибаться, и доверять ему что-то серьёзное пока не стоит, даже код пишет, который как-то работает, но в нём масса мелких и незаметных ошибок и уязвимостей. Текст исправлен с помощью Google Gemma 4 E4B.
  11. PR55.RP55
    Вы сказали: "Найди все новые ключи которые появились 2026 г. и ранее не использовались... Можешь ?" *Да, я могу помочь* составить список новых ключей реестра и путей автозагрузки, которые вредоносное ПО использует в текущих кампаниях (включая модификации 2026 года), маскируясь под легальные системные компоненты. ( скопирую частично) : * *|HKLM\SOFTWARE\Classes\Protocols\Filter|* и *|\Handler|* — новые модификации Adware перехватывают протоколы edge:// или msproedg:// для подмены поисковой выдачи. * *|HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|* — использование подсистемы WSL для скрытого автозапуска Linux-ориентированных рекламных модулей, незаметных для стандартных триггеров автозагрузки Windows. Современные зловреды (особенно Adware и майнеры) научились прописываться в тихий автозапуск без создания классических ключей |Run| или |Services|. Они используют встроенный механизм Windows 10/11 — *псевдонимы выполнения приложений*. * *Суть*: В реестре создается связь в ветке |HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths| или через механизм |AppXPackage|. Зловред подменяет вызов легальной команды (например, при наборе пользователем |notepad| или |calc| в строке «Выполнить») и запускает свое тело. * *Что добавить в памятку*: Обращать внимание на появление кастомных записей в блоке «Псевдонимы приложений» и проверять, куда перенаправляются стандартные системные вызовы. 2. Подмена через каталоги |Lxss| (WSL — Windows Subsystem for Linux) Это одна из самых опасных современных тенденций, так как многие антивирусы до сих пор слабо сканируют Linux-среду внутри Windows. * *Суть*: Майнеры и стилеры прописывают свой запуск внутри дистрибутива WSL (ключ реестра |HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|). При старте Windows запускается скрытая фоновая сессия WSL, которая активирует ELF-бинарник (Linux-вирус). В логах автозапуска Windows это выглядит как легальный старт службы |wsl.exe|, но с хитрыми аргументами. * *Что добавить в памятку*: Формула «А+В+С»: если |wsl.exe| запускается автоматически с флагами |-d| (конкретный дистрибутив) или скрытыми bash-скриптами — это 100% повод для изоляции и проверки содержимого виртуального диска VHDX. 3. Продвинутый Timestomping с подделкой под апдейты ОС Раньше вирусописатели просто копировали даты у соседних файлов (|kernel32.dll| и т.д.). Теперь они действуют умнее: * *Суть*: Дата создания файла выставляется ровно на день/час крупного официального обновления Windows (например, подстраиваются под график Patch Tuesday от Microsoft). Аналитик смотрит на лог uVS, видит дату (например, |14.10.2025|) и думает: «А, ну это тогда накопительный апдейт прилетел, файл чистый». * *Что добавить в памятку*: Правило проверки контрольных сумм. Не верить датам, даже если они идеально совпадают со временем системного обновления. Если у файла из папки |System32| с «правильной» датой обновления отсутствует валидная ЭЦП (или статус |Цифр. подпись: НЕТ|) — это критический триггер. 4. Атаки типа Living off the Land (LotL) через новые системные утилиты Вместо использования заезженных |powershell.exe| или |cmd.exe|, которые сейчас жестко блокируются любым EDR/антивирусом, малварь перешла на легальные, но редкие утилиты Windows (LOLBins). * *Суть*: Для скачивания и запуска вредоносного кода используются системные компоненты: o |curl.exe| (теперь встроен в Windows) — для скрытой загрузки полезной нагрузки. o |tar.exe| — для распаковки зашифрованных архивов со стилерами прямо «на лету». o |winget.exe| (Windows Package Manager) — для скачивания вредоносных утилит из легальных репозиториев. * *Что добавить в памятку*: В uVS нужно тщательно анализировать параметры запуска командной строки в Планировщике задач (|TASKS|), если там фигурируют |curl|, |tar| или |bitsadmin|, качающие что-то с внешних IP-адресов. 6. Скрытые модификации через COM-объекты (COM Hijacking без изменения файлов) Вместо перезаписи файлов в |System32| или создания явных ключей |Run|, малварь перехватывает легальные системные интерфейсы через реестр. * *Суть*: Зловред прописывает путь к своей вредоносной DLL в ветку *|HKCU\Software\Classes\CLSID\{GUID}\InprocServer32|*. При этом берется GUID легального и часто используемого компонента Windows (например, Проводника, контекстного меню или планировщика). Как только система или пользователь совершает обычное действие (открывает папку, кликает правой кнопкой мыши), Windows автоматически подгружает вредоносную DLL. * *Что добавить в памятку*: В uVS такие объекты часто попадают в категорию «Подозрительные CLSID» или скрытые расширения оболочки. Если в ветке |HKCU| (пользовательский уровень) переопределяется системный GUID, который по умолчанию должен жить только в |HKLM| (уровень системы) — это явный признак перехвата. 7. Спуфинг цифровой подписи через уязвимости каталогов (Catalog Signing Spoofing) Малварь научилась обходить базовую проверку подписей, из-за чего в логах некоторых утилит файл может ошибочно помечаться как «Подписан Microsoft». * *Суть*: Используются уязвимости в механизме проверки файлов через каталоги безопасности Windows (|.cat| файлы). Вредоносный бинарник модифицируется таким образом, что его хэш совпадает с хэшем легального файла в базе данных каталогов (используются коллизии или специфические уязвимости парсинга). * *Что добавить в памятку*: Правило двойной проверки. Если файл находится в нетипичном месте (например, |C:\Users\...\Temp\svchost.exe|), но uVS или ОС рапортует, что у него «Валидная подпись Microsoft» — необходимо принудительно отправлять хэш файла на VirusTotal через встроенную функцию uVS или проверять подпись сторонними утилитами (например, |Sigcheck| от Sysinternals) с проверкой отзывов сертификатов. 8. Эксплуатация механизма «Служб доставки обновлений» браузеров (Edge/Chrome Maintenance) Рекламное ПО (Adware) и кликеры ушли от создания собственных явных служб и теперь паразитируют на легальных планировщиках браузеров. * *Суть*: Вредоносный скрипт не создает новую задачу в Планировщике. Вместо этого он модифицирует параметры /уже существующей/ легальной задачи, например, |MicrosoftEdgeUpdateTaskMachineCore|. В оригинальную команду дописывается скрытый аргумент (аргумент-паразит), который раз в сутки скачивает или запускает рекламный модуль. Аналитик видит знакомое имя задачи Edge, видит легальный путь к апдейтеру и пропускает её. * *Что добавить в памятку*: При анализе задач Планировщика (|TASKS|) в uVS нужно смотреть не только на имя файла, но и *полностью разворачивать строку аргументов*. Любые добавленные URL-адреса, вызовы |cmd /c|, или сторонние пути в параметрах легальных служб обновления — это стопроцентный признак компрометации. 10. Фейковые системные переменные в путях автозапуска Обман визуального восприятия аналитика через манипуляцию переменными среды. * *Суть*: В реестре или планировщике путь к файлу прописывается как |%SystemRoot%\System32\drivers\malware.sys|. Но перед этим на уровне пользователя (|HKCU\Environment|) создается кастомная переменная |%SystemRoot%|, которая указывает вовсе не на |C:\Windows|, а на |C:\Users\Public\Documents|. В итоге аналитик глазами видит «безопасный» системный путь, а система при загрузке идет в скрытую пользовательскую папку. * *Что добавить в памятку*: Всегда проверять блок «Переменные окружения» в начале лога uVS. Любые попытки переопределить стандартные переменные вроде |%SystemRoot%|, |%WinDir%| или |%ProgramFiles%| на уровне текущего пользователя — это критическая угроза.
  12. PR55.RP55
    Сейчас дал ИИ задание напиши скрипт и... Вот: ( взял Инфо. из одного из старых образов) Скрипт лечения для uVS Чтобы полностью удалить эту службу, связанные с ней файлы и очистить ссылки в реестре, выполните следующий скрипт: text ; uVS v4.15.1 [Script] ; Target OS: Windows ; Удаление вредоносной службы и основного файла апдейтера delref %Network%\C:\PROGRAM FILES (X86)\YONTOO\Y2DESKTOP.UPDATER.EXE ; Удаление исполняемого файла в AppData, вызываемого через параметры службы delref %AppData%\YONTOO\YONTOODESKTOP.EXE ; Принудительное удаление самой службы из реестра delsrv Yontoo Desktop Updater ; Очистка остаточных путей и каталогов Yontoo deldir C:\Program Files (x86)\Yontoo deldir C:\Users\cappu44ino\AppData\Roaming\Yontoo ; Перезагрузка для применения изменений restart --------- Я сильно не увлекался - так для примера.
  13. PR55.RP55
    santy Модели ИИ ( я делал запрос к google ) - есть возможность задать вопрос ( дать задание ) по заранее выбранным настройкам: настройки: yaml [SYSTEM_OVERRIDE] ---------- Код он сам себе напишет :) Главное задать нужные вопросы и потом попросить\ сохранить настройки в виде кода ) Единственно - не все ИХ модели нормально работают. Результаты тоже нужно проверять... Например: получить Резюме... По записи - ( как в моём примере в Новые функции ) С заранее заданными параметрами - что нам нужно. Это и для обучения и для экономии времени и когда оператор устал, для написания отчёта - по работе на семинар, при обсуждении на форуме, анализ новых угроз или появился новый ключ автозапуска; там где есть сомнение - что это... Построить цепочку - чтобы увидеть механику процесса\заражения. Увидеть аномалии - как то, что браузер "подписан" но это ЭЦП не головного офиса - а ЭЦП - пусть и "легитимное" - но смежников. Аномалии пути; размера; схожесть имени и т.д. Никакие настройки uVS этого не дадут. Можно увидеть никогда ранее неиспользуемый ключ запуска ( или его нестандартное применение ). Если железо современное - то возможно? - локальные модели ИИ. Можно попробовать например дать задание: Найди все новые ключи которые появились 2026 г. и ранее не использовались...
  14. santy
    Как гипотетические варианты действий: ---------------------- - получить детальную расшифровку выбранного антивирусного детекта по результату проверки файла на VT из экрана ИНФО. Здесь я бы обратил внимание на три основных детекта: у Kaspersky, DrWeb, ESET, возможно + Microsoft. - получить расшифровку по цифровой подписи файла, насколько известна, и надежна. - может стоит продумать свою классификацию детектов, и потом уже на основании данной классификации находить другие примеры/способы запуска и т.п.
  15. santy
    RP55, даже 5, но не 150 в день, по поводу ИИ в uVS: здесь надо понять, какую достоверную полезную информацию может добавить ИИ к тому, что делает uVS: Если просто как хелп для начинающих - это одно, если как помощник при написании скриптов, то здесь уже работает автоскрипт вполне справляется, если ему показать все необходимые детекты. если как справка по указанному типу угроз - это часто можно увидеть на ВирусТотал - может через API как то возможно это загрузить.
  16. Ego Dekker
    Домашние антивирусы для Windows были обновлены до версии 19.1.14.
  17. PR55.RP55
    santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в *** написал, но видимо из-за спамеров никто не читал... А между тем...
  18. santy
    Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
  19. PR55.RP55
    https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST * *Суть записи:* Данная строка представляет собой запись из лога программы FRST (Farbar Recovery Scan Tool) и указывает на активное вредоносное ПО на компьютере. * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует легитимный браузер Microsoft Edge, маскируясь под него измененным именем. Оригинальный файл браузера должен называться |msedge.exe|. Имя |Msproedg.exe| не используется ни одним легальным софтом в мире. * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке |Microsoft\Windows\Autochk|. В норме эта ветка отвечает исключительно за диагностику файловой системы при загрузке компьютера и может содержать всего одну легальную задачу — |Proxy|. Задача с именем |KeyPreair| здесь нелегальна. * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ). Размер оригинального браузера измеряется в мегабайтах, а не в килобайтах. * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|. Вирус намеренно использует технику подделки даты, чтобы скрыться от антивирусных сканеров, которые ищут недавно измененные файлы. * *Скомпрометированная цифровая подпись:* o В логе отображается строка: |(Microsoft 3rd Party Application Component -> )|. o Сертификат |Microsoft Windows Third Party Application Component| (и его сокращенный вариант) действительно существует. Это легальный сертификат Microsoft для подписи софта сторонних разработчиков, который официально интегрируется в систему (компоненты Teams, DirectX). o У оригинального браузера Edge подпись всегда выглядит как |(Microsoft Corporation)|. В данном же случае пустая стрелочка в конце |-> )| показывает цепочку доверия Authenticode. o В легальном файле FRST проверяет издателя и замыкает цепочку: |(Microsoft 3rd Party Application Component -> Microsoft Corporation)|. Пустота после стрелки в вашем логе — это технический признак того, что вирус скопировал чужой блок подписи, но криптографическая проверка Authenticode провалилась.
  20. PR55.RP55
    demkd Если так с рекламой на форуме продолжиться - форум закроют :)
  21. PR55.RP55
    При работе с программой оператором зачастую выполняются одни и те же действия. Предлагаю в стартовое меню добавить команду: Выполнить определённое действие: 1 - 2 - 3 Пример: 1 - Запустить под текущим пользователем > Открыть категорию Скрипты > Применить F4 Или 2 - Для работы с удалённым PC по схеме... и т.д.
  22. Jefferybum Jefferybum joined the community
  23. PR55.RP55
    По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр. Пример из лога: Выполнено за 1,423 сек. Указанный каталог не содержит полной и доступной для чтения копии реестра. ---- Выполнено за 1,423 сек. Что выполнено ? Как-то совсем нехорошо звучит. Не нужно так пугать. :)
  24. demkd
    --------------------------------------------------------- 5.0.5 --------------------------------------------------------- o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач. Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS. o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой. o В лог добавлен вывод состояния флагов защиты uVS.
  25. demkd
    Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
  26. santy
    Что там будет с историей процессов и задач при работе с активной системой, трудно сказать, это же надо на своей системе (или VM) включать отслеживание. С отслеживанием в основном работаем с образами. Тема так и называется "создать образ автозапуска с отслеживанием процессов и задач".
  27. PR55.RP55
    https://disk.yandex.ru/i/JPJDtV0H4P6Hjg
  1. Load more activity
×