Перейти к содержанию
demkd

странные файлы, подписанные "simplex"

Recommended Posts

demkd

Разгребал сегодня помойку из файлов снятых с разных систем и несколько файликов от XP оказались необычными:

SFCFILES.DLL

SRVSVC.DLL

TCPIP.SYS

UXTHEME.DLL

Файлы несколько отличаются по содержимому от оригинальных файлов идентичных версий и мало того все файлы подписаны с помощью сертификата "simplix" действующего с 10.01.1997 по 31.12.2020, что само по себе странно, особенно в контексте XP.

Windows при проверки подписи сказал следующее:

Simplix Root Authority

Нет доверия к этому корневому сертификату центра сертификации, поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации.

А сам сертификат посчитал _действительным.

VirusTotal ничего инетресного не подсказал.

Может быть кто-то знает что это за "simplix" такой и чего вдруг он взялся модифицировать и подписывать файлы мелкософта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Нет доверия к этому корневому сертификату центра сертификации, поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации.

А сам сертификат посчитал _действительным.

Ну, здесь противоречия нет, в общем-то.

http://forum.simplix.ks.ua/viewtopic.php?id=15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Umnik

Хм, похоже это оно, удивительно культурные пионеры сборку делали, файлы подправили и подписали, поди еще свой сертификат внутрь прикрутили и красота: подписи внутри системы верифицируются на ура... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл" Так почему бы не сделать доступным полный перечень команд ? DELREF ; DELALL ; ZOO;  и т.д.  
    • demkd
      можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
        это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
        в неактивной он само собой все видит я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.
    • santy
      в продолжении темы: tdsskiller из нормального режима не увидел ничего опасного. uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).   http://www.tehnari.ru/f35/t261417/index2.html#post2605517
    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
×