Universal Virus Sniffer (uVS), Вопросы разработчику

[santy 153]

demkd,

твое решение с сервисной dll помогло,

думаю, теперь уже на поток пойдут скрипты с удалением dll по проблеме "удалить dllhostex", пока вирлабы не проанализируют файлы и не добавят новые сигнатуры в базы.

[demkd 638]

6 минут назад, santy сказал:

твое решение с сервисной dll помогло,

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD

[santy 153]

27 минут назад, demkd сказал:

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD 

а если бы в своем, то все равно uVS это видел бы как потоки в svchost.exe?

трудно сказать, как развивается атака здесь.

видно, что у компутеров есть уязвимость ms-17-010. и возможно, после одного заражения инфекция пытается распространиться по локальной сети. (Есть сэмпл это dll, может из нее что то будет понятно.)

пока что антивирусы вяло реагируют на детект этой dll. а вот тем с этой проблемой прибавляется.

[santy 153]

похоже, по этой эпидемии обзор:

https://www.sangfor.com/source/blog-network-security/1201.html

[demkd 638]

2 часа назад, santy сказал:

похоже, по этой эпидемии обзор:

да, очень похоже на то

[demkd 638]

Поскольку возникла проблема связанная с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов на аккаунтах в количество обновлений по фиксированному курсу, после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения всех технических проблем с переходом на новую базу аккаунтов и альтернативную криптовалюту, скорее всего это будет лайткоин, где и стоимость транзакций ниже и база не 230gb, а всего лишь 20, ориентировочный срок 1-е июня, до 1-го обновления uVS, ввод/вывод будут функционировать в прежнем режиме, окончательные сроки сообщу рассылкой.

[demkd 638]

Первая фаза обновления личного кабинета завершена, конвертация остатков балансов произведена по курсу 0.00001 за обновление.
Пополнение пока невозможно, в ближайшие недели будет осуществлен переход на LTC, который удобней сейчас во всех отношениях.
Обновление апдейтера не требуется, все будет работать с текущей версией.

[santy 153]

Привет.

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов.

Нет ли здесь ошибки при проверки системных файлов?

пример:
 

Цитата

 

C:\WINDOWS\SYSTEM32\CSCDLL.DLL

НАРУШЕНА, файл модифицирован или заражен

Microsoft Windows

Недействительна (файл поврежден/заражен)

Хэш найден в базе проверенных файлов, файл помечен как проверенный

Файл был чист на момент проверки.

 

 

[demkd 638]

31 минут назад, santy сказал:

Нет ли здесь ошибки при проверки системных файлов?

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

[santy 153]

10 часов назад, demkd сказал:

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

здесь по большей части dll, sys, но и exe встречаются.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

здесь аналогично, dll, sys, реже exe

если нужны образы, могу загрузить на форум.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\WINSPOOL.DRV

[demkd 638]

1 час назад, santy сказал:

Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

[PR55.RP55 83]

18 часов назад, santy сказал:

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов. 

Возможно дело в любимой всеми компании.

Типа: " Обновление добавляет точки телеметрии в файл... "

А, что с ЭЦП файла после этого ?

Было бы интересно знать работает ли обновление на этих системах.

------------------

Demkd

А, что с гениальными предложениями по новым функциям в программе ?   :)

 

[santy 153]

13 часов назад, demkd сказал:

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

судя по этому образу только два файла из каталога vmware с нарушенной подписью, остальные с действительной.

C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWAREBASE.DLL
C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\X64\VMWARE-VMX.EXE

проверка этих файлов по VT показывает что файлы не подписаны.

Signature Info

Signature Verification

 File is not signed

https://www.virustotal.com/gui/file/9c04db2177eabca00c1ae0788c31ce9c041cfbbfd02ea569b6364ebede5e9b69/details

возможно, ты уже о таких случаях писал раньше, но уже как то забылось

а это по lsass.exe на VT не подписан,

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

а в образе с нарушенной цифровой

НАРУШЕНА, файл модифицирован или заражен

https://www.virustotal.com/gui/file/dcf9d744fe1b1cf47ec2870b44c852846c221d604b50de8adf79f60629a92a55/details

 

PROBOOK_2019-12-11_20-15-06_v4.1.8.7z

[demkd 638]

22 часов назад, PR55.RP55 сказал:

А, что с ЭЦП файла после этого ? 

ничего, это новые файлы, а не модификация старых.

22 часов назад, PR55.RP55 сказал:

А, что с гениальными предложениями по новым функциям в программе ?

ничего интересного не заметил, да и времени нет на это

13 часов назад, santy сказал:

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

[santy 153]

6 часов назад, demkd сказал:

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

а SFC функция что проверяет при проверки целостности файла: хэш, или цифровую подпись? вот смотри: файл lsass.exe, по которому в uVS вердикт - нарушена цифровая подпись.

process explorer при проверки говорит, что файл verifed

а VT пишет, что файл не подписан.

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

https://www.virustotal.com/gui/file/6cfd9fda42fdb8c626bf98957715b6f5389bc86c9c5e147e615e69b142b78f61/details

Как с этим быть?

 

 

 

[PR55.RP55 83]

Если взять подписанный файл ( например драйвер ) от Windows 7 и запихать его на Windows 10 то система выдаст, что файл не подписан... А здесь мы имеем ошибку проверки ЭЦП на Windows 7 после обновления системы   ( по всей видимости после обновления ) файлы новые и недавно подписанные, системные обновления ориентированы на переход до Win 10 и алгоритм подписания тоже должен быть современный.

[PR55.RP55 83]

Из той же темы:  http://www.tehnari.ru/f35/t266702/

из лога FRST

Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files\Windows Defender\MpCmdRun.exe) attempted to load \Device\HarddiskVolume5\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\x64\antimalware_provider.dll

that did not meet the Microsoft signing level requirements.

...процесс не соответствует требованиям уровня подписи Майкрософт.

Подпись есть но уровень не соответствует.

[akoK 75]

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

[demkd 638]

Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
И какое зеркало?

[santy 153]

2 часа назад, akoK сказал:

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.

[akoK 75]

Цитата

И какое зеркало?

У нас на форуме

[demkd 638]

В 07.05.2021 at 8:26 PM, santy сказал:

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там)

на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет

 

[akoK 75]

Теперь и официальное зеркало (http://dsrt.dyndns.org:8888/uvsfiles.htm)

 

[santy 153]

Возвращаясь к теме деструктивных действий чистыми файлами.

оказывается даже термин есть такой LoLBins - обозначает,

LoLBin - это любой двоичный файл, предоставляемый операционной системой, который обычно используется в законных целях, но также может быть использован злоумышленниками. Некоторые системные двоичные файлы по умолчанию имеют неожиданные побочные эффекты, которые могут позволить злоумышленникам скрыть свои действия после эксплуатации.

https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

тот же Revil недавно в нашумевшей атаке на Kaseya VSA для запуска шифратора использовал чистый устаревший MSMPENG.EXE с цифровой от Микрософт, а в качестве MPSVC.DLL ему был подставлен  вредоносный файл шифратора (так же с цифровой,  "PB03 TRANSPORT LTD.")

[akoK 75]

И в эту тему спамеры добрались.