Новые функции в Universal Virus Sniffer (uVS) - Страница 68 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки

https://www.comss.ru/page.php?id=18618

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Возможно, что-то в открытом коде будет полезного и для uVS

https://www.comss.ru/page.php?id=19320

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При работе с программой оператором зачастую выполняются одни и те же действия.

Предлагаю в стартовое меню добавить команду: Выполнить определённое действие: 1 - 2 - 3

Пример: 1 - Запустить под текущим пользователем > Открыть категорию Скрипты > Применить F4

Или 2 - Для работы с удалённым PC по схеме... и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments

Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> )

1. Предлагаю добавить в меню: Запрос к ИИ

2. Автоматически добавлять ЭТО в подозрительные.

Что можно получить при разборе в ИИ.

___Ответ ИИ: ___ Резюме

Анализ вредоносной строки из лога FRST

  * *Суть записи:* Данная строка представляет собой запись из лога
    программы FRST (Farbar Recovery Scan Tool) и указывает на активное
    вредоносное ПО на компьютере.
  * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
    легитимный браузер Microsoft Edge, маскируясь под него измененным
    именем. Оригинальный файл браузера должен называться |msedge.exe|.
    Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
  * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
    |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
    исключительно за диагностику файловой системы при загрузке
    компьютера и может содержать всего одну легальную задачу — |Proxy|.
    Задача с именем |KeyPreair| здесь нелегальна.
  * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
    Размер оригинального браузера измеряется в мегабайтах, а не в
    килобайтах.
  * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
    Вирус намеренно использует технику подделки даты, чтобы скрыться от
    антивирусных сканеров, которые ищут недавно измененные файлы.
  * *Скомпрометированная цифровая подпись:*
      o В логе отображается строка: |(Microsoft 3rd Party Application
        Component -> )|.
      o Сертификат |Microsoft Windows Third Party Application Component|
        (и его сокращенный вариант) действительно существует. Это
        легальный сертификат Microsoft для подписи софта сторонних
        разработчиков, который официально интегрируется в систему
        (компоненты Teams, DirectX).
      o У оригинального браузера Edge подпись всегда выглядит как
        |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
        конце |-> )| показывает цепочку доверия Authenticode.
      o В легальном файле FRST проверяет издателя и замыкает цепочку:
        |(Microsoft 3rd Party Application Component -> Microsoft
        Corporation)|. Пустота после стрелки в вашем логе — это
        технический признак того, что вирус скопировал чужой блок
        подписи, но криптографическая проверка Authenticode провалилась.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,


Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

Прикрепил hive реестра пользователя для примера.
 

env_hiv.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
×