Перейти к содержанию

Recommended Posts

PR55.RP55
Цитата

Киберпреступники пять месяцев контролировали ASUS Live Update

Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.
Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:

https://habr.com/ru/company/jetinfosystems/blog/445256/

Demkd

А нельзя ли в: wdsl  внести соответствующие изменения...

т.е. добавить идентификатор сертификата ?

Серийный номер; Отпечаток...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

т.е. добавить идентификатор сертификата ?

нет смысла, сертификат будет отозван сразу на момент обнаружения.
А история да, смешная, только очень наивный человек поверит что все это происходило без ведома Asus, просто кое-кому нужны были компы с определенными MAC адресами и мат. платами asus. xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.4
---------------------------------------------------------
 o В информацию об активном модуле(DLL) добавлен pid процесса, дополнительно для сервисных модулей добавлено имя соответствующего сервиса.

 o Исправлен английский языковой файл.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

Образ:

http://forum.esetnod32.ru/messages/forum6/topic15265/message106421/#message106421

Цитата

Полное имя                  <URL>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</URL><REFERER>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</REFERER><COOKIES></COOKIES><SAVEPATH>C:\USERS\BITPORT1\DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Имя файла                   DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Тек. статус                 [Запускался неявно или вручную]
                                                      
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
CmdLine                     "C:\Program Files (x86)\Download Master\dmaster.exe" -addurl "<url>http://dl2.hageltech.com/DUMeter-Install.exe</url><referer>http://dl2.hageltech.com/DUMeter-Install.exe</referer><cookies></cookies><savepath>C:\Users\BitPort1\Downloads</savepath><filename>DUMeter-Install.exe</filename><fileExtension>.exe</fileExtension>"

+
ПОИСК  ЯНДЕКСA

Поиск раз 10 прописан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS
delref %Sys32%\DRIVERS\ASWBUNIV.SYS
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\ASWKBD.SYS
delref %Sys32%\DRIVERS\ASWMONFLT.SYS
delref %Sys32%\DRIVERS\ASWRDR2.SYS
delref %Sys32%\DRIVERS\ASWSNX.SYS
delref %Sys32%\DRIVERS\ASWSP.SYS
delref %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

Пригодиться и при работе с ADWARE и при удалении хвостов антивирусов.

https://forum.esetnod32.ru/messages/forum3/topic15284/message106482/#message106482

или

http://www.tehnari.ru/f35/t263849/

-------------

Конечно можно взять версию uVS без критериев поиска > распаковать > создать новый критерий ( критерии )  >

Настроить должным образом тип команды ( в данном случае delref ) > проверить > применить.

Это всё охрененно здорово - только лучше реализовать предложение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
10 часов назад, PR55.RP55 сказал:

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS

.....
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

RP55,

в данном примере как раз и не получится сделать автоматическое удаление по ЭЦП и производителю, (ни по сигнатурам, ни через настройку критерия), поскольку тел этих файлов нет, а в образе только ссылки на отсутствующие файлы. (так что автор скрипта сделал все как надо, хотя ссылки на отсутствующие файлы могли попасть в скрипт и автоматически)

если файлов легального антивируса (много 20-30), то для этого есть родные деинсталляторы и удаляторы,

с нежелательными антивирусами это тоже негодный и нерабочий метод.  как минимум, необходимо преодолеть самозащиту такого антивируса, а не удалять сразу все (подписанные или от производителя) файлы.

----------

и с хвостами это сделать не получится, потому что часть ссылок будет на отсутствующие файлы.

по adware и проч. - может и имеет смысл добавить контекстную команду: все файлы с данной ЭЦП подозрительны. (в том случае если еще нет живого критерия по данной эцп.)

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Идеально не бывает - в ряде случаев команды применить можно, а  в ряде нет.

Антивирусы и их хвосты так, или иначе приходиться удалять.

Можно привести десятки тем  и с файлами и без файлов.

Речь вот о чём:  У оператора должен быть выбор... свобода действия.

И там где можно отдать одну команду оператору не придётся отдавать 10 команд.

4 часа назад, santy сказал:

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

У каждого свой метод.

и у оператора должен быть выбор.

Кроме того это вопрос времени - когда время есть - это одно... тогда можно и критерии составлять.

А иногда нужно быстро удалить ( и уже в свободное время заниматься анализом, критериями, сигнатурами )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.5
---------------------------------------------------------
 o Добавлен новый ключ реестра в список проверки.

 o Для некоторых объектов добавлены поля "Изменен" отображающие дату и время создания/модификации связанных с ними ключей реестра.

 o В лог теперь выводится и "ReleaseId" версии Windows.
   Например: Windows 10 Pro 1809

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

08.05.2019 15:36:29 Получение списка файлов... [Ok]
08.05.2019 15:36:29 Построение списка файлов для обновления... [Ok]
08.05.2019 15:36:29 Новых хэшей в базе SHA\MAIN: 4779
08.05.2019 15:36:29 Новых хэшей в базе SHA\VT1: 0
08.05.2019 15:36:29 Доступно обновление файлов:
08.05.2019 15:36:29 E:\soft\avirus\Universal Virus Sniffer latest\DOC\WhatsNew.txt [Ошибка]
08.05.2019 15:36:29 Сервис временно недоступен.
08.05.2019 15:36:29 Обновление завершено.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

08.05.2019 15:36:29 Сервис временно недоступен.

да, пока не доступен через полчасика заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

С Праздником.

--------------

Microsoft Edge на Chromium в Windows 10

https://www.comss.ru/list.php?c=microsoft_edge

Будет ли uVS поддерживать данный браузер...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, PR55.RP55 сказал:

Будет ли uVS поддерживать данный браузер...

вряд ли, его доля среди браузеров ничтожна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
3 часа назад, demkd сказал:

вряд ли, его доля среди браузеров ничтожна. 

Цитата

Microsoft Edge - стандартный системный веб-браузер, который поставляется с Windows 10

Компания работает над версиями нового Edge для Windows 7, Windows 8 и Windows 8.1.

Edge получил поддержку расширений для Chrome

Куда деваться от системного браузера...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 10.05.2019 at 11:11 AM, PR55.RP55 сказал:

Куда деваться от системного браузера...

забыть и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Вышел: Firefox 67

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

https://www.comss.ru/page.php?id=6074

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 21.05.2019 at 10:27 PM, PR55.RP55 сказал:

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

текущая версия должна нормально находить все профили, кроме выделенных в отдельные каталоги пользователями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.6
---------------------------------------------------------
 o В меню запуск добавлены новые элементы:
   1) Dism /Online /Cleanup-Image /ScanHealth
      Скриптовая команда ScanHealth.
      Запуск проверки целостности системного хранилища компонентов.

   2) Dism /Online /Cleanup-Image /CheckHealth
      Скриптовая команда CheckHealth.
      Отображание результата проверки scanhealt или

   2) Dism /Online /Cleanup-Image /RestoreHealth
      Скриптовая команда RestoreHealth.
      Автоматическое исправление найденных ошибок.

   Вывод осуществляется в лог uVS.
   Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.

 o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
   после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
   на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

4.1.6

пока не работает обновление.

04.06.2019 21:50:00 Получение списка файлов... [Ошибка]
04.06.2019 21:50:00 Не удалось получить файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

пока не работает обновление.

с фаером беда какая-то случилась, не выдержал скачков напряжения похоже, буду разбираться...
upd. все оказалось хуже, провайдер что-то нахимичил с маршрутами и с 1-го июня доступа к клиентским ip нет несмотря на реальный адрес, ростелеком он такой........
буду разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Как оказалось ростелеком просто втихую закрыл 80/443 порты.
Сайт теперь будет работать на 8888 порту http://dsrt.dyndns.org:8888
Все модули со старыми ссылками перекомпилированы, для обновления необходимо скачать новый апдейтер.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Анатолий
      WordPress поддерживает около 15 миллионов веб-сайтов по всему миру — и это консервативная оценка. На сегодняшний день платформа является самой доминирующей системой управления контентом (CMS), которая занимает 60% мирового рынка CMS. Если у вас есть веб-сайт, он, вероятно, работает на WordPress. Источник: 6 признаков вашего сайта WordPress взломан
    • Анатолий
      Остерегайтесь сетевых акций Остерегайтесь этой потенциальной уязвимости, если вы открываете приложения на Mac: исследователь безопасности разработал способ, с помощью которого производители вредоносных программ могут обойти защиту macOS Gatekeeper для запуска вредоносного кода.

      Ключ в том, как macOS обращается с сетевыми ресурсами и считает их безопасными: систему можно обмануть, открыв архив zip-файлов, содержащий вредоносный код.

      Источник: Исследователь безопасности обнаруживает уязвимость macOS
    • Allexks
      У меня нет его, а вот жена прошла курсы кройки и шитья . Для неё это не просто хобби, а средство заработка.  Шьет хорошо и достаточно быстро. Говорит, что хочет открыть свою маленькую мастерскую по пошиву и если дела пойдут в гору, то и ателье. 
    • sarge
      немного увлекаюсь вышивкой. Да и то когда время есть свободное только.  Час-два в неделю этому хобби уделяю.
    • Kirs
      Есть ли у вас какие-то навыки или хобби ? Нравится ли вам творчество, много ли времени ему уделяете?
×