Перейти к содержанию

Recommended Posts

santy

demkd,

твое решение с сервисной dll помогло,

думаю, теперь уже на поток пойдут скрипты с удалением dll по проблеме "удалить dllhostex", пока вирлабы не проанализируют файлы и не добавят новые сигнатуры в базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, santy сказал:

твое решение с сервисной dll помогло,

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
27 минут назад, demkd сказал:

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD 

а если бы в своем, то все равно uVS это видел бы как потоки в svchost.exe?

трудно сказать, как развивается атака здесь.

видно, что у компутеров есть уязвимость ms-17-010. и возможно, после одного заражения инфекция пытается распространиться по локальной сети. (Есть сэмпл это dll, может из нее что то будет понятно.)

пока что антивирусы вяло реагируют на детект этой dll. а вот тем с этой проблемой прибавляется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

похоже, по этой эпидемии обзор:

да, очень похоже на то

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Поскольку возникла проблема связанная с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов на аккаунтах в количество обновлений по фиксированному курсу, после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения всех технических проблем с переходом на новую базу аккаунтов и альтернативную криптовалюту, скорее всего это будет лайткоин, где и стоимость транзакций ниже и база не 230gb, а всего лишь 20, ориентировочный срок 1-е июня, до 1-го обновления uVS, ввод/вывод будут функционировать в прежнем режиме, окончательные сроки сообщу рассылкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Первая фаза обновления личного кабинета завершена, конвертация остатков балансов произведена по курсу 0.00001 за обновление.
Пополнение пока невозможно, в ближайшие недели будет осуществлен переход на LTC, который удобней сейчас во всех отношениях.
Обновление апдейтера не требуется, все будет работать с текущей версией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Привет.

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов.

Нет ли здесь ошибки при проверки системных файлов?

пример:
 

Цитата

 

C:\WINDOWS\SYSTEM32\CSCDLL.DLL

НАРУШЕНА, файл модифицирован или заражен

Microsoft Windows

Недействительна (файл поврежден/заражен)

Хэш найден в базе проверенных файлов, файл помечен как проверенный

Файл был чист на момент проверки.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
31 минут назад, santy сказал:

Нет ли здесь ошибки при проверки системных файлов?

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
10 часов назад, demkd сказал:

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

здесь по большей части dll, sys, но и exe встречаются.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

здесь аналогично, dll, sys, реже exe

если нужны образы, могу загрузить на форум.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\WINSPOOL.DRV

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
18 часов назад, santy сказал:

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов. 

Возможно дело в любимой всеми компании.

bf1eb96900d6679dbbbdc69a04f40451e61173ba

Типа: " Обновление добавляет точки телеметрии в файл... "

А, что с ЭЦП файла после этого ?

Было бы интересно знать работает ли обновление на этих системах.

------------------

Demkd

А, что с гениальными предложениями по новым функциям в программе ?   :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 часов назад, demkd сказал:

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

судя по этому образу только два файла из каталога vmware с нарушенной подписью, остальные с действительной.

C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWAREBASE.DLL
C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\X64\VMWARE-VMX.EXE

проверка этих файлов по VT показывает что файлы не подписаны.

Signature Info

Signature Verification

 File is not signed

https://www.virustotal.com/gui/file/9c04db2177eabca00c1ae0788c31ce9c041cfbbfd02ea569b6364ebede5e9b69/details

возможно, ты уже о таких случаях писал раньше, но уже как то забылось :)

а это по lsass.exe на VT не подписан,

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

а в образе с нарушенной цифровой

НАРУШЕНА, файл модифицирован или заражен

https://www.virustotal.com/gui/file/dcf9d744fe1b1cf47ec2870b44c852846c221d604b50de8adf79f60629a92a55/details

 

PROBOOK_2019-12-11_20-15-06_v4.1.8.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
22 часов назад, PR55.RP55 сказал:

А, что с ЭЦП файла после этого ? 

ничего, это новые файлы, а не модификация старых.

22 часов назад, PR55.RP55 сказал:

А, что с гениальными предложениями по новым функциям в программе ?

ничего интересного не заметил, да и времени нет на это

13 часов назад, santy сказал:

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 часов назад, demkd сказал:

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

а SFC функция что проверяет при проверки целостности файла: хэш, или цифровую подпись? вот смотри: файл lsass.exe, по которому в uVS вердикт - нарушена цифровая подпись.

process explorer при проверки говорит, что файл verifed

Snap2.jpg.faa3fe71399ac43212d37d859d78fb31.jpg

а VT пишет, что файл не подписан.

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

https://www.virustotal.com/gui/file/6cfd9fda42fdb8c626bf98957715b6f5389bc86c9c5e147e615e69b142b78f61/details

Как с этим быть?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Если взять подписанный файл ( например драйвер ) от Windows 7 и запихать его на Windows 10 то система выдаст, что файл не подписан... А здесь мы имеем ошибку проверки ЭЦП на Windows 7 после обновления системы   ( по всей видимости после обновления ) файлы новые и недавно подписанные, системные обновления ориентированы на переход до Win 10 и алгоритм подписания тоже должен быть современный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Из той же темы:  http://www.tehnari.ru/f35/t266702/

из лога FRST

Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files\Windows Defender\MpCmdRun.exe) attempted to load \Device\HarddiskVolume5\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\x64\antimalware_provider.dll

that did not meet the Microsoft signing level requirements.

...процесс не соответствует требованиям уровня подписи Майкрософт.

Подпись есть но уровень не соответствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
И какое зеркало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, akoK сказал:

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Цитата

И какое зеркало?

У нас на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 07.05.2021 at 8:26 PM, santy сказал:

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там)

на него уже давно не реагируют они :) сейчас самый опасный report_crash что дампы отправляет :D

 

изображение.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Возвращаясь к теме деструктивных действий чистыми файлами.

оказывается даже термин есть такой LoLBins - обозначает,

LoLBin - это любой двоичный файл, предоставляемый операционной системой, который обычно используется в законных целях, но также может быть использован злоумышленниками. Некоторые системные двоичные файлы по умолчанию имеют неожиданные побочные эффекты, которые могут позволить злоумышленникам скрыть свои действия после эксплуатации.

https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

тот же Revil недавно в нашумевшей атаке на Kaseya VSA для запуска шифратора использовал чистый устаревший MSMPENG.EXE с цифровой от Микрософт, а в качестве MPSVC.DLL ему был подставлен  вредоносный файл шифратора (так же с цифровой,  "PB03 TRANSPORT LTD.")

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

И в эту тему спамеры добрались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×