VBR Rootkit (Mayachok.2) вернулся
Автор
K_Mikhail, в Современные угрозы и защита от них
Recommended Posts
Объявления
-
Сообщения
-
От demkd · Опубликовано
---------------------------------------------------------
4.15.4
---------------------------------------------------------
o Обновлен интерфейс.
o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
процессов с задачами.
Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
(!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
(!) История не доступна для неактивных систем.
o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
Добавлено:
o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
o История процессов и задач (Дополнительно->История процессов и задач)
(!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
o Защита образа от повреждений.
o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.
o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.
o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.
o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
(!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.
o Исправлена ошибка разбора состояния TCPIPv6 соединений.
-
От demkd · Опубликовано
Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена. -
От PR55.RP55 · Опубликовано
uVS в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
Имя файла CALIBRE-PORTABLE.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Системе не удается найти указанный путь.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
SHORTCUT C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
--------------------- Полное имя C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
Имя файла START.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Системе не удается найти указанный путь.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
SHORTCUT C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
--------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись. -
От demkd · Опубликовано
подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет. -
От PR55.RP55 · Опубликовано
C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T. ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128
-