Перейти к содержанию

Recommended Posts

PR55.RP55
Цитата

Киберпреступники пять месяцев контролировали ASUS Live Update

Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.
Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:

https://habr.com/ru/company/jetinfosystems/blog/445256/

Demkd

А нельзя ли в: wdsl  внести соответствующие изменения...

т.е. добавить идентификатор сертификата ?

Серийный номер; Отпечаток...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

т.е. добавить идентификатор сертификата ?

нет смысла, сертификат будет отозван сразу на момент обнаружения.
А история да, смешная, только очень наивный человек поверит что все это происходило без ведома Asus, просто кое-кому нужны были компы с определенными MAC адресами и мат. платами asus. xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.4
---------------------------------------------------------
 o В информацию об активном модуле(DLL) добавлен pid процесса, дополнительно для сервисных модулей добавлено имя соответствующего сервиса.

 o Исправлен английский языковой файл.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

Образ:

http://forum.esetnod32.ru/messages/forum6/topic15265/message106421/#message106421

Цитата

Полное имя                  <URL>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</URL><REFERER>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</REFERER><COOKIES></COOKIES><SAVEPATH>C:\USERS\BITPORT1\DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Имя файла                   DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Тек. статус                 [Запускался неявно или вручную]
                                                      
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
CmdLine                     "C:\Program Files (x86)\Download Master\dmaster.exe" -addurl "<url>http://dl2.hageltech.com/DUMeter-Install.exe</url><referer>http://dl2.hageltech.com/DUMeter-Install.exe</referer><cookies></cookies><savepath>C:\Users\BitPort1\Downloads</savepath><filename>DUMeter-Install.exe</filename><fileExtension>.exe</fileExtension>"

+
ПОИСК  ЯНДЕКСA

Поиск раз 10 прописан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS
delref %Sys32%\DRIVERS\ASWBUNIV.SYS
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\ASWKBD.SYS
delref %Sys32%\DRIVERS\ASWMONFLT.SYS
delref %Sys32%\DRIVERS\ASWRDR2.SYS
delref %Sys32%\DRIVERS\ASWSNX.SYS
delref %Sys32%\DRIVERS\ASWSP.SYS
delref %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

Пригодиться и при работе с ADWARE и при удалении хвостов антивирусов.

https://forum.esetnod32.ru/messages/forum3/topic15284/message106482/#message106482

или

http://www.tehnari.ru/f35/t263849/

-------------

Конечно можно взять версию uVS без критериев поиска > распаковать > создать новый критерий ( критерии )  >

Настроить должным образом тип команды ( в данном случае delref ) > проверить > применить.

Это всё охрененно здорово - только лучше реализовать предложение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
10 часов назад, PR55.RP55 сказал:

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS

.....
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

RP55,

в данном примере как раз и не получится сделать автоматическое удаление по ЭЦП и производителю, (ни по сигнатурам, ни через настройку критерия), поскольку тел этих файлов нет, а в образе только ссылки на отсутствующие файлы. (так что автор скрипта сделал все как надо, хотя ссылки на отсутствующие файлы могли попасть в скрипт и автоматически)

если файлов легального антивируса (много 20-30), то для этого есть родные деинсталляторы и удаляторы,

с нежелательными антивирусами это тоже негодный и нерабочий метод.  как минимум, необходимо преодолеть самозащиту такого антивируса, а не удалять сразу все (подписанные или от производителя) файлы.

----------

и с хвостами это сделать не получится, потому что часть ссылок будет на отсутствующие файлы.

по adware и проч. - может и имеет смысл добавить контекстную команду: все файлы с данной ЭЦП подозрительны. (в том случае если еще нет живого критерия по данной эцп.)

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Идеально не бывает - в ряде случаев команды применить можно, а  в ряде нет.

Антивирусы и их хвосты так, или иначе приходиться удалять.

Можно привести десятки тем  и с файлами и без файлов.

Речь вот о чём:  У оператора должен быть выбор... свобода действия.

И там где можно отдать одну команду оператору не придётся отдавать 10 команд.

4 часа назад, santy сказал:

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

У каждого свой метод.

и у оператора должен быть выбор.

Кроме того это вопрос времени - когда время есть - это одно... тогда можно и критерии составлять.

А иногда нужно быстро удалить ( и уже в свободное время заниматься анализом, критериями, сигнатурами )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.5
---------------------------------------------------------
 o Добавлен новый ключ реестра в список проверки.

 o Для некоторых объектов добавлены поля "Изменен" отображающие дату и время создания/модификации связанных с ними ключей реестра.

 o В лог теперь выводится и "ReleaseId" версии Windows.
   Например: Windows 10 Pro 1809

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

08.05.2019 15:36:29 Получение списка файлов... [Ok]
08.05.2019 15:36:29 Построение списка файлов для обновления... [Ok]
08.05.2019 15:36:29 Новых хэшей в базе SHA\MAIN: 4779
08.05.2019 15:36:29 Новых хэшей в базе SHA\VT1: 0
08.05.2019 15:36:29 Доступно обновление файлов:
08.05.2019 15:36:29 E:\soft\avirus\Universal Virus Sniffer latest\DOC\WhatsNew.txt [Ошибка]
08.05.2019 15:36:29 Сервис временно недоступен.
08.05.2019 15:36:29 Обновление завершено.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

08.05.2019 15:36:29 Сервис временно недоступен.

да, пока не доступен через полчасика заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

С Праздником.

--------------

Microsoft Edge на Chromium в Windows 10

https://www.comss.ru/list.php?c=microsoft_edge

Будет ли uVS поддерживать данный браузер...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, PR55.RP55 сказал:

Будет ли uVS поддерживать данный браузер...

вряд ли, его доля среди браузеров ничтожна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
3 часа назад, demkd сказал:

вряд ли, его доля среди браузеров ничтожна. 

Цитата

Microsoft Edge - стандартный системный веб-браузер, который поставляется с Windows 10

Компания работает над версиями нового Edge для Windows 7, Windows 8 и Windows 8.1.

Edge получил поддержку расширений для Chrome

Куда деваться от системного браузера...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 10.05.2019 at 11:11 AM, PR55.RP55 сказал:

Куда деваться от системного браузера...

забыть и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Вышел: Firefox 67

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

https://www.comss.ru/page.php?id=6074

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 21.05.2019 at 10:27 PM, PR55.RP55 сказал:

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

текущая версия должна нормально находить все профили, кроме выделенных в отдельные каталоги пользователями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.6
---------------------------------------------------------
 o В меню запуск добавлены новые элементы:
   1) Dism /Online /Cleanup-Image /ScanHealth
      Скриптовая команда ScanHealth.
      Запуск проверки целостности системного хранилища компонентов.

   2) Dism /Online /Cleanup-Image /CheckHealth
      Скриптовая команда CheckHealth.
      Отображание результата проверки scanhealt или

   2) Dism /Online /Cleanup-Image /RestoreHealth
      Скриптовая команда RestoreHealth.
      Автоматическое исправление найденных ошибок.

   Вывод осуществляется в лог uVS.
   Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.

 o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
   после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
   на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

4.1.6

пока не работает обновление.

04.06.2019 21:50:00 Получение списка файлов... [Ошибка]
04.06.2019 21:50:00 Не удалось получить файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

пока не работает обновление.

с фаером беда какая-то случилась, не выдержал скачков напряжения похоже, буду разбираться...
upd. все оказалось хуже, провайдер что-то нахимичил с маршрутами и с 1-го июня доступа к клиентским ip нет несмотря на реальный адрес, ростелеком он такой........
буду разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Как оказалось ростелеком просто втихую закрыл 80/443 порты.
Сайт теперь будет работать на 8888 порту http://dsrt.dyndns.org:8888
Все модули со старыми ссылками перекомпилированы, для обновления необходимо скачать новый апдейтер.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Хорошо бы в меню: Скрипты

добавить команду: " Проверить скрипт находящейся в буфере обмена "

Это нужно при работе на форуме. ( в ряде случаев приходиться редактировать ранее опубликованный текст, в процессе редактирования случайно могут быть допущены ошибки. ) Когда есть сомнения... хорошо бы быстро проверить и без лишних телодвижений ( без сохранения в файл )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Привет.

по этому фрагменту из образ автозапуска.

Цитата

Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD
Имя файла                   {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSWOW64\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\{293C20C4-B5E5-4810-94EC-3742198103BF}
{293C20C4-B5E5-4810-94EC-3742198103BF}cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B {293C20C4-B5E5-4810-94EC-3742198103BF}.cmd

предположительно вредоносный cmd -файл, но в опцию файл попал не он, а первый файл из командной строки. (cmd.exe) Возможно ли внести исправление, чтобы в опции file был показан именно тот файл, для которого создан объект образа автозапуска? (возможно там бы засветился код вредоносного cmd-файла)
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

привет, так он же попал
"Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD"
или нужно что бы его содержимое отображалось как для текстовых файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 минут назад, demkd сказал:

привет, так он же попал
"Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD"
или нужно что бы его содержимое отображалось как для текстовых файлов?

да, как для текстовых файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, santy сказал:

да, как для текстовых файлов.

добавлю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Такой объект один в списке, так что проблем не будет.
    • SQx
      приветсвтвую,

      У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае: delwmi WMI:\\.\ROOT\SUBSCRIPTION\ у следующего объекта нет имени: instance of __FilterToConsumerBinding { Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\""; Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\""; }; В логе FRST, он виден как: WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION Спасибо за ранее.

      P.S. приложил лог. ИВААААААН-ПК_2019-10-17_09-55-24_v4.1.8.7z
    • Alushaa
      Мне понравились статьи про бизнес на данном сайте https://promdevelop.ru/vozmozhno-li-povyshenie-inflyatsii-do-10-protsentov-v-etom-godu/ Очень советую вам почитать и легко найти всю необходимую информацию, думаю этот сайт вам очень пригодиться.
    • Draft
    • limonchik
      Давайте не будем говорить про дырявость wordpress или любой другой cms (в данному случае имею ввиду бесплатные).... В первую очередь проблема в сторонних плагинах / расширениях.... далее не своевременное обновление cms / плагинов / модулей.... далее использование варезных расширений, по своему опыту знаю, видел используют как минимум 80% так называемых веб мастеров.  P.S. В любом случае если захотят взломают,  но для базовой защиты выполнение трех условий выше  уменьшает риск взлома сайта! 
×