Нормальная ситуация. Уверен, что основания для детекта в данном случае были (мне известны сотни таких вирусов-файлов-строчек). Смешнее другое: файл со строчкой « AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You . » целых 24 вендора сейчас определяют как Win32.Vote. Икстримизм, однако!.. И только в детекте от MS — Virus:VBS/Wote. Виндусы, однако...
Весьма полезная информация! Спасибо! Но «REG-файл, отключающий Windows Defender», устарел еще в 2020-м, в версии 2004. Теперь для отключения Microsoft Defender нужно создавать в реестре раздел Real-Time Protection и в нем четыре DWORD-параметра: DisableBehaviorMonitoring, DisableOnAccessProtection, DisableScanOnRealtimeEnable и DisableIOAVProtection
Утилита полезная, но все-таки ограничена одним процессом, так что не VMMap...
Взглянул на ppm_rich. Замечу, что с Rich все не так просто. Например, у многих нативных программ (subsystem = native) смещение сигнатуры - 0x200. Испорченные сигнатуры - отдельный вопрос, но вот еще есть две хакерские утилиты, которые затирают Rich сознательно. Первая (RichRemove) смещает OptionalHeader на место Rich и укорачивает PE-заголовок, но часто портит файлы. Другая (rchhdrrsr.exe) затирает RICH-сигнатуру рандомными DWORD, оставляя после себя рабочие файлы. Кстати, по моему опыту, особо продвинутые недоброжелатели уже стали подделывать Rich кустарно. Но это им не поможет
Спасибо, конечно. Но скрипты не в тему, нечто такое и я делаю, выкручиваясь. Но это неудобно. Работать нужно именно с панелью, например удалить уже "опустошенные" папки, выделить самые полные... Обработать файлы в очередной раз, снова проанализировать результаты... Нужного плагина пока не нашел, и есть ли такой?
Мне кажется, переход используется чаще. Да и в той же VM ENIGMA тоже jmp [edx * 4 + m32]. А для VMPROT вспоминается, что Ильфак в свое время сделал надстройку-скрипт для разбора VM. Он на одном из VB докладывался, да и лично рассказывал. Не пользовали?
Меня эти исходники только путают. И без них легко разобраться.
Автор поковырялся, в принципе, неплохо. Добавлю, что в качестве MAIN_LOOP в большинстве версий выступает не mov r32, m32[r32 * 4], а jmp [eax * 4 + m32] В обоих случаях в AL - код виртуальной инструкции, а ESI адресует начало полотна машинных инструкций, ей соответствующих. Если распаковать образец, адрес ServiceMain - 0x40AC48 Функция очень знакомая, в начале выполнения создает именованный мьютекс Global\RunWaitForInitiateSystemService. По нему "палится" пара десятков троянов этого типа, например 68ced722e9139bfb8bb26ab5b4ade01622b4d800394ea5fb208aaaba6bd95e60
Спасибище! Очень вменяемый текст, редко такой встретишь. МТС последние месяцы меня просто преследовал. Облачный ВПН восстановлен - работает через Cloak. Но я админ-нуб и даже не понял, как сохранять ключи и uid для последующего ввода, пришлось считывать со скриншота. Зато файлы на сервер закачал заранее отредактированные через FileZilla. Там же определил реальное местоположение файлов OpenVPN (для sudo cat /etc/openvpn/server.conf )
намедни сжимал папку с 500 000 вирусных скриптов. видимо только для отображения прогресс-бара 7zip молотил по ней до начала сжатия полчаса. я-то привык, но может кто скажет Павлову, что так делать не стоит?
Нормальная ситуация. Уверен, что основания для детекта в данном случае были (мне известны сотни таких вирусов-файлов-строчек). Смешнее другое: файл со строчкой « AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You . » целых 24 вендора сейчас определяют как Win32.Vote. Икстримизм, однако!.. И только в детекте от MS — Virus:VBS/Wote. Виндусы, однако...
Молчание - знак согласия. Все сыро и неработоспособно
На Win7 при запуске после установки:
Превышение времени ожидания (30000 мс) при ожидании подключения службы "AmneziaVPN-service".
Сбой при запуске службы "AmneziaVPN-service" из-за ошибки Служба не ответила на запрос своевременно.
Получено следующее предупреждение о неустранимой ошибке: 70.
На Win8 при установке "Точка входа в процедуру SystemParametersInfoForDpi не найдена в DLL C:\Program Files\AmneziaVPN\Qt6Gui.dll
На Win10-11 - ни за что
Windows7 поддержана? После установки access violation... (0xС0000005)
sha1, надеюсь, есть у этого файла?
Весьма полезная информация! Спасибо! Но «REG-файл, отключающий Windows Defender», устарел еще в 2020-м, в версии 2004. Теперь для отключения Microsoft Defender нужно создавать в реестре раздел Real-Time Protection и в нем четыре DWORD-параметра: DisableBehaviorMonitoring, DisableOnAccessProtection, DisableScanOnRealtimeEnable и DisableIOAVProtection
Вы бы опротестовали у касперыча вердикты, а то он примкнул к разным недо-AV:
crc32: https://www.virustotal.com/gui/file/ef39639306adf2d10fc5ff6970ac5f87f57c6e1cc909823eed8b9913863a5620?nocache=1
ProcessMM: https://www.virustotal.com/gui/file/5deef39112da4400423782505bf328035a62e38c57e850131aa5381ce13181be?nocache=1
Мне квалификации хватает, чтобы убедиться в отсутствии вируса, а спецам в другой области может не хватить.
Утилита полезная, но все-таки ограничена одним процессом, так что не VMMap...
Взглянул на ppm_rich. Замечу, что с Rich все не так просто.
Например, у многих нативных программ (subsystem = native) смещение сигнатуры - 0x200.
Испорченные сигнатуры - отдельный вопрос, но вот еще есть две хакерские утилиты, которые затирают Rich сознательно.
Первая (RichRemove) смещает OptionalHeader на место Rich и укорачивает PE-заголовок, но часто портит файлы.
Другая (rchhdrrsr.exe) затирает RICH-сигнатуру рандомными DWORD, оставляя после себя рабочие файлы.
Кстати, по моему опыту, особо продвинутые недоброжелатели уже стали подделывать Rich кустарно. Но это им не поможет
И, кстати, с наступившим!
Да, пожалуй, ближе всего к теме. Благодарю. Возможно это знакомый плагин, который открывает списки файлов (с расширением списка .temp) как панель
Спасибо, конечно. Но скрипты не в тему, нечто такое и я делаю, выкручиваясь. Но это неудобно. Работать нужно именно с панелью, например удалить уже "опустошенные" папки, выделить самые полные... Обработать файлы в очередной раз, снова проанализировать результаты... Нужного плагина пока не нашел, и есть ли такой?
Мне крайне не хватает возможности сортировки папок по количеству файлов в них. Можете дать совет?
Мне кажется, переход используется чаще. Да и в той же VM ENIGMA тоже jmp [edx * 4 + m32]. А для VMPROT вспоминается, что Ильфак в свое время сделал надстройку-скрипт для разбора VM. Он на одном из VB докладывался, да и лично рассказывал. Не пользовали?
Меня эти исходники только путают. И без них легко разобраться.
Автор поковырялся, в принципе, неплохо.
Добавлю, что в качестве MAIN_LOOP в большинстве версий выступает не mov r32, m32[r32 * 4], а jmp [eax * 4 + m32]
В обоих случаях в AL - код виртуальной инструкции, а ESI адресует начало полотна машинных инструкций, ей соответствующих.
Если распаковать образец, адрес ServiceMain - 0x40AC48
Функция очень знакомая, в начале выполнения создает именованный мьютекс Global\RunWaitForInitiateSystemService.
По нему "палится" пара десятков троянов этого типа, например
68ced722e9139bfb8bb26ab5b4ade01622b4d800394ea5fb208aaaba6bd95e60
Прошло две недели - снова перекрыли. Кто может еще посоветовать более долговечное для существующего VPN?
Спасибище! Очень вменяемый текст, редко такой встретишь. МТС последние месяцы меня просто преследовал. Облачный ВПН восстановлен - работает через Cloak. Но я админ-нуб и даже не понял, как сохранять ключи и uid для последующего ввода, пришлось считывать со скриншота. Зато файлы на сервер закачал заранее отредактированные через FileZilla. Там же определил реальное местоположение файлов OpenVPN (для sudo cat /etc/openvpn/server.conf )
намедни сжимал папку с 500 000 вирусных скриптов. видимо только для отображения прогресс-бара 7zip молотил по ней до начала сжатия полчаса. я-то привык, но может кто скажет Павлову, что так делать не стоит?