Перейти к содержанию

Recommended Posts

santy

demkd,

твое решение с сервисной dll помогло,

думаю, теперь уже на поток пойдут скрипты с удалением dll по проблеме "удалить dllhostex", пока вирлабы не проанализируют файлы и не добавят новые сигнатуры в базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, santy сказал:

твое решение с сервисной dll помогло,

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
27 минут назад, demkd сказал:

ну значит таки она, одно лишь интересно оно потоки вешало в своем процессе или в системные процессы на базе svchost подсаживало? последнее было бы забавно xD 

а если бы в своем, то все равно uVS это видел бы как потоки в svchost.exe?

трудно сказать, как развивается атака здесь.

видно, что у компутеров есть уязвимость ms-17-010. и возможно, после одного заражения инфекция пытается распространиться по локальной сети. (Есть сэмпл это dll, может из нее что то будет понятно.)

пока что антивирусы вяло реагируют на детект этой dll. а вот тем с этой проблемой прибавляется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

похоже, по этой эпидемии обзор:

да, очень похоже на то

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Поскольку возникла проблема связанная с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов на аккаунтах в количество обновлений по фиксированному курсу, после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения всех технических проблем с переходом на новую базу аккаунтов и альтернативную криптовалюту, скорее всего это будет лайткоин, где и стоимость транзакций ниже и база не 230gb, а всего лишь 20, ориентировочный срок 1-е июня, до 1-го обновления uVS, ввод/вывод будут функционировать в прежнем режиме, окончательные сроки сообщу рассылкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Первая фаза обновления личного кабинета завершена, конвертация остатков балансов произведена по курсу 0.00001 за обновление.
Пополнение пока невозможно, в ближайшие недели будет осуществлен переход на LTC, который удобней сейчас во всех отношениях.
Обновление апдейтера не требуется, все будет работать с текущей версией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Привет.

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов.

Нет ли здесь ошибки при проверки системных файлов?

пример:
 

Цитата

 

C:\WINDOWS\SYSTEM32\CSCDLL.DLL

НАРУШЕНА, файл модифицирован или заражен

Microsoft Windows

Недействительна (файл поврежден/заражен)

Хэш найден в базе проверенных файлов, файл помечен как проверенный

Файл был чист на момент проверки.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
31 минут назад, santy сказал:

Нет ли здесь ошибки при проверки системных файлов?

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
10 часов назад, demkd сказал:

привет, а это в какой системе? Я ничего подобного ни на 7-ке ни на 10-ке не наблюдаю.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

здесь по большей части dll, sys, но и exe встречаются.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

здесь аналогично, dll, sys, реже exe

если нужны образы, могу загрузить на форум.

uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows 7 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Проверка цифровых подписей...

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\USER32.DLL

(!) Поврежден файл: C:\WINDOWS\SYSTEM32\WINSPOOL.DRV

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

Поврежден файл: C:\WINDOWS\SYSTEM32\SMSS.EXE

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
18 часов назад, santy сказал:

в последнее время часто попадает в образе массовое нарушение цифровой подписи для системных файлов. 

Возможно дело в любимой всеми компании.

bf1eb96900d6679dbbbdc69a04f40451e61173ba

Типа: " Обновление добавляет точки телеметрии в файл... "

А, что с ЭЦП файла после этого ?

Было бы интересно знать работает ли обновление на этих системах.

------------------

Demkd

А, что с гениальными предложениями по новым функциям в программе ?   :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 часов назад, demkd сказал:

такого уж точно быть не должно или какие-то проблемы с проверкой по catroot или файлы действительно модифицированы

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

судя по этому образу только два файла из каталога vmware с нарушенной подписью, остальные с действительной.

C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWAREBASE.DLL
C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\X64\VMWARE-VMX.EXE

проверка этих файлов по VT показывает что файлы не подписаны.

Signature Info

Signature Verification

 File is not signed

https://www.virustotal.com/gui/file/9c04db2177eabca00c1ae0788c31ce9c041cfbbfd02ea569b6364ebede5e9b69/details

возможно, ты уже о таких случаях писал раньше, но уже как то забылось :)

а это по lsass.exe на VT не подписан,

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

а в образе с нарушенной цифровой

НАРУШЕНА, файл модифицирован или заражен

https://www.virustotal.com/gui/file/dcf9d744fe1b1cf47ec2870b44c852846c221d604b50de8adf79f60629a92a55/details

 

PROBOOK_2019-12-11_20-15-06_v4.1.8.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
22 часов назад, PR55.RP55 сказал:

А, что с ЭЦП файла после этого ? 

ничего, это новые файлы, а не модификация старых.

22 часов назад, PR55.RP55 сказал:

А, что с гениальными предложениями по новым функциям в программе ?

ничего интересного не заметил, да и времени нет на это

13 часов назад, santy сказал:

может быть проблема в том, что часть файлов от известных производителей просто не подписана.

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 часов назад, demkd сказал:

нет, не подписан и хэш не сошелся абсолютно разные вещи, тут или действительно модифицирован файл или проблемы с базой в catroot.
 

а SFC функция что проверяет при проверки целостности файла: хэш, или цифровую подпись? вот смотри: файл lsass.exe, по которому в uVS вердикт - нарушена цифровая подпись.

process explorer при проверки говорит, что файл verifed

Snap2.jpg.faa3fe71399ac43212d37d859d78fb31.jpg

а VT пишет, что файл не подписан.

Signature Verification

Highlights whether the file being studied is signed and whether the signature is valid.

 File is not signed

https://www.virustotal.com/gui/file/6cfd9fda42fdb8c626bf98957715b6f5389bc86c9c5e147e615e69b142b78f61/details

Как с этим быть?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Если взять подписанный файл ( например драйвер ) от Windows 7 и запихать его на Windows 10 то система выдаст, что файл не подписан... А здесь мы имеем ошибку проверки ЭЦП на Windows 7 после обновления системы   ( по всей видимости после обновления ) файлы новые и недавно подписанные, системные обновления ориентированы на переход до Win 10 и алгоритм подписания тоже должен быть современный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Из той же темы:  http://www.tehnari.ru/f35/t266702/

из лога FRST

Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files\Windows Defender\MpCmdRun.exe) attempted to load \Device\HarddiskVolume5\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\x64\antimalware_provider.dll

that did not meet the Microsoft signing level requirements.

...процесс не соответствует требованиям уровня подписи Майкрософт.

Подпись есть но уровень не соответствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
И какое зеркало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, akoK сказал:

На днях поисковики пометили UVS как вредонос и заблокировали зеркало. Нужно бы почистить от ложных срабатываний

https://www.virustotal.com/graph/34b70f21bb46548cecbadd7c8d0f91723f658b8175cfffffbfb951d09f59f17f

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Цитата

И какое зеркало?

У нас на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 07.05.2021 at 8:26 PM, santy сказал:

из архива uVS на зеркале уберите файл _autorun.zip (если он есть там)

на него уже давно не реагируют они :) сейчас самый опасный report_crash что дампы отправляет :D

 

изображение.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Возвращаясь к теме деструктивных действий чистыми файлами.

оказывается даже термин есть такой LoLBins - обозначает,

LoLBin - это любой двоичный файл, предоставляемый операционной системой, который обычно используется в законных целях, но также может быть использован злоумышленниками. Некоторые системные двоичные файлы по умолчанию имеют неожиданные побочные эффекты, которые могут позволить злоумышленникам скрыть свои действия после эксплуатации.

https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

тот же Revil недавно в нашумевшей атаке на Kaseya VSA для запуска шифратора использовал чистый устаревший MSMPENG.EXE с цифровой от Микрософт, а в качестве MPSVC.DLL ему был подставлен  вредоносный файл шифратора (так же с цифровой,  "PB03 TRANSPORT LTD.")

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

И в эту тему спамеры добрались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×