Лидеры форума

--------------------------------------------------------- 5.0.4 --------------------------------------------------------- o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ". Удаление такого объекта приведет к удалению переменной пользователя или к восстановлению значения по умолчанию если это системная переменная. Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы. o Для процессов с внедренными потоками теперь печатается родитель этого процесса. o В лог выводится состояние SecureBoot. o В лог выводится версия драйвера Ф. o Добавлена интеграция с Ф: o История процессов загружается из Ф, а не из журнала Windows. Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена то будет доступна лишь история процессов, но не задач. Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows. o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных) внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР". o В меню запуска добавлена опция "Установить драйвер Ф". Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф. В отличии от драйвера в Ф эта версия не имеет региональных ограничений. Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы. Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера. Остальной функционал удален. Драйвер устанавливается под случайным именем. Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы. (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е. (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7. (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning. (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning. (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться. o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы". o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении к удаленному рабочему столу.

--------------------------------------------------------- 5.0.3 --------------------------------------------------------- o Добавлен новый статус процесса: Критический. В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED. Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным). При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и файл получается статус "подозрительный". o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL. Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и участки окон высшего уровня перекрывающие это окно (если они есть). Данный режим позволяет снизить нагрузку на процессор и канал передачи данных. Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему. Для переключения между окнами доступны все горячие клавиши. При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности визуального выбора другого окна. (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del. (!) В этом режиме недоступно отображение запроса UAC. (!) Если нет активного окна то картинка не передается. (!) Режим доступен начиная с Windows 8. o В окно настройки однократного доступа к удаленному рабочему столу добавлен новый флаг "Только для выбранного приложения". Если флаг установлен то удаленному пользователю передается лишь содержимое активного окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять окнами других приложений. Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS. Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу. Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или замены разрешенного приложения. o Функция запоминания размеров окон для разных мониторов удалена. Теперь действуют единые парметры масштабирования. Масштабирование стало автоматическим. o При подключении к удаленному рабочему столу автоматически определяется активный дисплей по окну на переднем плане. o В системное меню окна удаленного рабочего стола добавлены пункты: o Скрыть/показать элементы управления. o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).

--------------------------------------------------------- 5.0.2 --------------------------------------------------------- o Обновлен формат образа автозапуска до v5. o Утилита cmpimg обновлена до версии 1.05 для поддержки нового формата образов автозапуска. o Утилита uvs_snd обновлена до версии 1.06 для поддержки нового формата образов автозапуска. o В окне монитора активности процессов теперь отображается: o Точная информация о занятой процессом памяти и загрузке GPU для актуальных версий Win10/11. (старые версии uVS и стандартный диспетчер задач Windows в некоторых случаях отображают очень далекие от реальности цифры). o Занятая процессом видеопамять (VRAM). (!) Для получения данных uVS не использует счетчик производительности, поэтому значение может немного отличаться от того что показывает Диспетчер задач. (!) Доступно только для дискретных видеокарт. o Суммарная загрузка процессами RAM/VRAM(сумма НЕ равна всей занятой физической памяти, учитывается только то что занято процессами)/cpu/gpu при выбранной сортировке по соответствующему столбцу с данными. o Исправлена критическая ошибка в работе серверной части uVS при установленном флаге bReUseRemote. При отключении клиента могло произойти аварийное завершение серверной части uVS из-за сбоя синхронизации потоков, что в свою очередь могло привести к подвисанию процесса клиентской части uVS на несколько минут. o Предупреждение о внедренном потоке в процесс с измененным кодом перенесено из информации базового файла в информацию о фейковом процессе с соответствующим pid. o В функцию очистки диска от временных файлов добавлен каталог C:\Windows\SystemTemp

RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление. --------------------------------------------------------- 5.0 --------------------------------------------------------- o Новый параметр в settings.ini [Settings] ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс. TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически. Добавил функцию для образов. --------------------------------------------------------- 5.0.RC4 --------------------------------------------------------- o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows. Теперь при включении отслеживания в лог печатается статус этой опции. o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом, если образ сделан при активном отслеживании процессов. o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

ИИ — полезная штука, но, к сожалению, бесплатные версии, как тот же Google Gemini Flash, тупенькие на уровне 12b моделей, делают колоссальное число ошибок по мелочам. Яблочко от яблони... Мало того, "новое" у них обычно старое с отставанием на год, и это в лучшем случае. Я сейчас как раз занимаюсь новой, уже 3-й версией своего "Клавиатурного помощника". В нём будет поддержка локального ИИ, горячих ИИ-клавиш, голосовых команд, голосового ввода и вспомогательной LLM для переводов, правки текста и т.п. Именно локального ИИ без необходимости обращения в сеть и сопутствующих утечек данных И это не для старого железа — нужно как минимум много памяти и современный процессор, в идеале хотя бы RTX 5060 Ti 16 ГБ в качестве ускорителя. А результат, ну, такой себе. ИИ слишком склонен ошибаться, и доверять ему что-то серьёзное пока не стоит, даже код пишет, который как-то работает, но в нём масса мелких и незаметных ошибок и уязвимостей. Текст исправлен с помощью Google Gemma 4 E4B.

Вы сказали: "Найди все новые ключи которые появились 2026 г. и ранее не использовались... Можешь ?" *Да, я могу помочь* составить список новых ключей реестра и путей автозагрузки, которые вредоносное ПО использует в текущих кампаниях (включая модификации 2026 года), маскируясь под легальные системные компоненты. ( скопирую частично) : * *|HKLM\SOFTWARE\Classes\Protocols\Filter|* и *|\Handler|* — новые модификации Adware перехватывают протоколы edge:// или msproedg:// для подмены поисковой выдачи. * *|HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|* — использование подсистемы WSL для скрытого автозапуска Linux-ориентированных рекламных модулей, незаметных для стандартных триггеров автозагрузки Windows. Современные зловреды (особенно Adware и майнеры) научились прописываться в тихий автозапуск без создания классических ключей |Run| или |Services|. Они используют встроенный механизм Windows 10/11 — *псевдонимы выполнения приложений*. * *Суть*: В реестре создается связь в ветке |HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths| или через механизм |AppXPackage|. Зловред подменяет вызов легальной команды (например, при наборе пользователем |notepad| или |calc| в строке «Выполнить») и запускает свое тело. * *Что добавить в памятку*: Обращать внимание на появление кастомных записей в блоке «Псевдонимы приложений» и проверять, куда перенаправляются стандартные системные вызовы. 2. Подмена через каталоги |Lxss| (WSL — Windows Subsystem for Linux) Это одна из самых опасных современных тенденций, так как многие антивирусы до сих пор слабо сканируют Linux-среду внутри Windows. * *Суть*: Майнеры и стилеры прописывают свой запуск внутри дистрибутива WSL (ключ реестра |HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|). При старте Windows запускается скрытая фоновая сессия WSL, которая активирует ELF-бинарник (Linux-вирус). В логах автозапуска Windows это выглядит как легальный старт службы |wsl.exe|, но с хитрыми аргументами. * *Что добавить в памятку*: Формула «А+В+С»: если |wsl.exe| запускается автоматически с флагами |-d| (конкретный дистрибутив) или скрытыми bash-скриптами — это 100% повод для изоляции и проверки содержимого виртуального диска VHDX. 3. Продвинутый Timestomping с подделкой под апдейты ОС Раньше вирусописатели просто копировали даты у соседних файлов (|kernel32.dll| и т.д.). Теперь они действуют умнее: * *Суть*: Дата создания файла выставляется ровно на день/час крупного официального обновления Windows (например, подстраиваются под график Patch Tuesday от Microsoft). Аналитик смотрит на лог uVS, видит дату (например, |14.10.2025|) и думает: «А, ну это тогда накопительный апдейт прилетел, файл чистый». * *Что добавить в памятку*: Правило проверки контрольных сумм. Не верить датам, даже если они идеально совпадают со временем системного обновления. Если у файла из папки |System32| с «правильной» датой обновления отсутствует валидная ЭЦП (или статус |Цифр. подпись: НЕТ|) — это критический триггер. 4. Атаки типа Living off the Land (LotL) через новые системные утилиты Вместо использования заезженных |powershell.exe| или |cmd.exe|, которые сейчас жестко блокируются любым EDR/антивирусом, малварь перешла на легальные, но редкие утилиты Windows (LOLBins). * *Суть*: Для скачивания и запуска вредоносного кода используются системные компоненты: o |curl.exe| (теперь встроен в Windows) — для скрытой загрузки полезной нагрузки. o |tar.exe| — для распаковки зашифрованных архивов со стилерами прямо «на лету». o |winget.exe| (Windows Package Manager) — для скачивания вредоносных утилит из легальных репозиториев. * *Что добавить в памятку*: В uVS нужно тщательно анализировать параметры запуска командной строки в Планировщике задач (|TASKS|), если там фигурируют |curl|, |tar| или |bitsadmin|, качающие что-то с внешних IP-адресов. 6. Скрытые модификации через COM-объекты (COM Hijacking без изменения файлов) Вместо перезаписи файлов в |System32| или создания явных ключей |Run|, малварь перехватывает легальные системные интерфейсы через реестр. * *Суть*: Зловред прописывает путь к своей вредоносной DLL в ветку *|HKCU\Software\Classes\CLSID\{GUID}\InprocServer32|*. При этом берется GUID легального и часто используемого компонента Windows (например, Проводника, контекстного меню или планировщика). Как только система или пользователь совершает обычное действие (открывает папку, кликает правой кнопкой мыши), Windows автоматически подгружает вредоносную DLL. * *Что добавить в памятку*: В uVS такие объекты часто попадают в категорию «Подозрительные CLSID» или скрытые расширения оболочки. Если в ветке |HKCU| (пользовательский уровень) переопределяется системный GUID, который по умолчанию должен жить только в |HKLM| (уровень системы) — это явный признак перехвата. 7. Спуфинг цифровой подписи через уязвимости каталогов (Catalog Signing Spoofing) Малварь научилась обходить базовую проверку подписей, из-за чего в логах некоторых утилит файл может ошибочно помечаться как «Подписан Microsoft». * *Суть*: Используются уязвимости в механизме проверки файлов через каталоги безопасности Windows (|.cat| файлы). Вредоносный бинарник модифицируется таким образом, что его хэш совпадает с хэшем легального файла в базе данных каталогов (используются коллизии или специфические уязвимости парсинга). * *Что добавить в памятку*: Правило двойной проверки. Если файл находится в нетипичном месте (например, |C:\Users\...\Temp\svchost.exe|), но uVS или ОС рапортует, что у него «Валидная подпись Microsoft» — необходимо принудительно отправлять хэш файла на VirusTotal через встроенную функцию uVS или проверять подпись сторонними утилитами (например, |Sigcheck| от Sysinternals) с проверкой отзывов сертификатов. 8. Эксплуатация механизма «Служб доставки обновлений» браузеров (Edge/Chrome Maintenance) Рекламное ПО (Adware) и кликеры ушли от создания собственных явных служб и теперь паразитируют на легальных планировщиках браузеров. * *Суть*: Вредоносный скрипт не создает новую задачу в Планировщике. Вместо этого он модифицирует параметры /уже существующей/ легальной задачи, например, |MicrosoftEdgeUpdateTaskMachineCore|. В оригинальную команду дописывается скрытый аргумент (аргумент-паразит), который раз в сутки скачивает или запускает рекламный модуль. Аналитик видит знакомое имя задачи Edge, видит легальный путь к апдейтеру и пропускает её. * *Что добавить в памятку*: При анализе задач Планировщика (|TASKS|) в uVS нужно смотреть не только на имя файла, но и *полностью разворачивать строку аргументов*. Любые добавленные URL-адреса, вызовы |cmd /c|, или сторонние пути в параметрах легальных служб обновления — это стопроцентный признак компрометации. 10. Фейковые системные переменные в путях автозапуска Обман визуального восприятия аналитика через манипуляцию переменными среды. * *Суть*: В реестре или планировщике путь к файлу прописывается как |%SystemRoot%\System32\drivers\malware.sys|. Но перед этим на уровне пользователя (|HKCU\Environment|) создается кастомная переменная |%SystemRoot%|, которая указывает вовсе не на |C:\Windows|, а на |C:\Users\Public\Documents|. В итоге аналитик глазами видит «безопасный» системный путь, а система при загрузке идет в скрытую пользовательскую папку. * *Что добавить в памятку*: Всегда проверять блок «Переменные окружения» в начале лога uVS. Любые попытки переопределить стандартные переменные вроде |%SystemRoot%|, |%WinDir%| или |%ProgramFiles%| на уровне текущего пользователя — это критическая угроза.

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows https://www.comss.ru/page.php?id=17831

ESET NOD32 Antivirus 18.2.18 (Windows 10, 32-разрядная) ESET NOD32 Antivirus 18.2.18 (Windows 10/11, 64-разрядная) ESET Internet Security 18.2.18 (Windows 10, 32-разрядная) ESET Internet Security 18.2.18 (Windows 10/11, 64-разрядная) ESET Smart Security Premium 18.2.18 (Windows 10, 32-разрядная) ESET Smart Security Premium 18.2.18 (Windows 10/11, 64-разрядная) ESET Security Ultimate 18.2.18 (Windows 10, 32-разрядная) ESET Security Ultimate 18.2.18 (Windows 10/11, 64-разрядная) ● ● ● ● Руководство пользователя ESET NOD32 Antivirus 18 (PDF-файл) Руководство пользователя ESET Internet Security 18 (PDF-файл) Руководство пользователя ESET Smart Security Premium 18 (PDF-файл) Руководство пользователя ESET Security Ultimate 18 (PDF-файл) Полезные ссылки: Технологии ESET ESET Online Scanner Удаление антивирусов других компаний Как удалить антивирус 18-й версии полностью?

Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы. ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа. Пожалуй это надо вынести в заголовок стартового окна большими буквами.

--------------------------------------------------------- 5.0.1 --------------------------------------------------------- o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле. o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит. (для текущей версии Win11 24H2 проблема актуальна) В случае обнаружении исполняемого файла он будет добавлен в подозрительные. Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован. FRST пока эту дыру в безопасности не видит. o В список теперь может быть добавлено подозрительное значение ключа реестра. Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект". (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять. o Обновлен модуль rest до v1.21.