Доктор Веб изнутри или история одного сотрудника
Автор
Сергей Ильин, в Общий форум по информационной безопасности
Recommended Posts
Объявления
-
Сообщения
-
От Ego Dekker · Опубликовано
Домашние антивирусы для Windows были обновлены до версии 19.1.14. -
От PR55.RP55 · Опубликовано
santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в *** написал, но видимо из-за спамеров никто не читал... А между тем... -
От santy · Опубликовано
Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров. -
От PR55.RP55 · Опубликовано
https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST * *Суть записи:* Данная строка представляет собой запись из лога
программы FRST (Farbar Recovery Scan Tool) и указывает на активное
вредоносное ПО на компьютере.
* *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
легитимный браузер Microsoft Edge, маскируясь под него измененным
именем. Оригинальный файл браузера должен называться |msedge.exe|.
Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
* *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
|Microsoft\Windows\Autochk|. В норме эта ветка отвечает
исключительно за диагностику файловой системы при загрузке
компьютера и может содержать всего одну легальную задачу — |Proxy|.
Задача с именем |KeyPreair| здесь нелегальна.
* *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
Размер оригинального браузера измеряется в мегабайтах, а не в
килобайтах.
* *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
Вирус намеренно использует технику подделки даты, чтобы скрыться от
антивирусных сканеров, которые ищут недавно измененные файлы.
* *Скомпрометированная цифровая подпись:*
o В логе отображается строка: |(Microsoft 3rd Party Application
Component -> )|.
o Сертификат |Microsoft Windows Third Party Application Component|
(и его сокращенный вариант) действительно существует. Это
легальный сертификат Microsoft для подписи софта сторонних
разработчиков, который официально интегрируется в систему
(компоненты Teams, DirectX).
o У оригинального браузера Edge подпись всегда выглядит как
|(Microsoft Corporation)|. В данном же случае пустая стрелочка в
конце |-> )| показывает цепочку доверия Authenticode.
o В легальном файле FRST проверяет издателя и замыкает цепочку:
|(Microsoft 3rd Party Application Component -> Microsoft
Corporation)|. Пустота после стрелки в вашем логе — это
технический признак того, что вирус скопировал чужой блок
подписи, но криптографическая проверка Authenticode провалилась. -
От PR55.RP55 · Опубликовано
demkd Если так с рекламой на форуме продолжиться - форум закроют :)
-