Аналіз зловмисного програмного забезпечення

Доброго ранку, спільното. Підкажіть будь ласка, чи хтось з программістів, або взагалі аітівців стикався із проблемою зловмисних программ? Я вже декілька років страждаю від них і не можу знати антивірус, щоб їх вилікувати. Хтось каже, що то можуть бути лише глюки в программному забезпеченні, але я в це не вірю. Можливо якісь дірки у OS Windows.

У мене видно, що система переписана таким чином, що зі старту раняться якісь скрипти. Здається, що потім вже і антивірус працює таким чином, що не може знайти зловмисного кода. Хоча є якісь программи, які встановились самі, деякі процеси неможливо завершити. Назви цих процесів дуже сумнівні і також видно сервіси, яким не можна змінити тип запуску. В повсякденному житті воно може показувати чорний екран, коли потрібен доступ до банкінгу. Або ж видно якісь дії, наприклад, курор миші ворушиться без моєї участі. Забагато процессів відкривається для однієї вкладки у браузері. Англійська версія видає сповіщення по-руzzкі. У встановленному Chrome відкривається якийсь untrusted frame. І таке інше. Ще були якісь коннекшени до сайтів мілітарі в штатах.

Чи хтось в Україні може проаналізувати цю систему та попередити її розповсюдження? Я вже декілька міст оббігала, але ніхто таким не займається.

Дякую.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Хоча є якісь программи, які встановились самі, деякі процеси неможливо завершити.

Це називається інсталяційні бандли, коли інсталяція йде пакетами.

Назви цих процесів дуже сумнівні

Назва процесу може бути будь-яка. Наприклад, сsrss це один із найважливіших системних сервісів.

і також видно сервіси, яким не можна змінити тип запуску

Для деяких системних сервісів не можливо змінити тип запуску.

В повсякденному житті воно може показувати чорний екран, коли потрібен доступ до банкінгу

Під будь-яким броузером?

Або ж видно якісь дії, наприклад, курор миші ворушиться без моєї участі

Деякі моделі миші взагалі можуть курсор вкрай екран самі виводити.

Забагато процессів відкривається для однієї вкладки у браузері

Я теж обурений цим фактом. Іноді на одну вкладку може відкритися до 15 процесів хрому чи ейджу.

Англійська версія видає сповіщення по-руzzкі

Якщо сайт російський і нотифай кидає скрипт — оповіщення буде російською.

Загалом, простежується симптоми сильної перевтоми та закопування в дрібниці та підозрілість.Дуже раджу після форматування жорсткого диска та встановлення оригінального ПЗ взяти відпустку та переключитися від комп’ютера.

Іноді на одну вкладку може відкритися до 15 процесів хрому чи ейджу.

Це дизайн веб браузерів десь року з 2009, в FireFox те саме. Як не дивно насправді так краще, не дивлячись на те що пам’ятні використовується набагато більше. ізоляця окремих процесів як то відео чи якісь скрипти в окремих процессах, дає чудовий захист від збохв скриптів та іншого коду. Вам би набагато меньше подобалось коли браузер крешиться з усіма відкритими вкладками, коли ви завантажуєте якусь веб сторінку. З ІЕ взагалі були ексцеси, коли якийсь JS код на сайті компанії де я раніше працював призводив до синього екрану смерті.

Можна спробувати поставити це, щоб точно бачити активність, бо оце все зараз виглядає на рівні конспірології
safing.io

Не завантажуй піратский контент з торрентів та сумнівних сайтів. і все

Та не факт, писаталі зловредів завжди були дуже винахідними. Через ті самі web скрипти, та технології в яких можоиво є дири які ще загально не відомі, скажімо webasm чи WebGPU, чи Java plugin який встановлено для якогось онлайн банкінгу і т.п. Чи навіть вразливості в самих процесорах з кооперативним виконанням коду, можуть проникнути і виконувати якись водоносний код. Існує декілька типів крекерів. Найбільш розповсюджений тип — злочинці, зазвичай просто використовують чужий код, або роблять якісь поділки типу підробки мобільної Дії (яка взагаоі просто суцільний люк, без по суті жодних суттєвих засобів захисту), власну кваліфікацію мають невелику. Другий тип це вандали — їх ненавидить весь інтернет, це ті хто створюють malware в якості розваг. І третій тип — кібр солдати, вони же кібр терористи або кібр-диверсанти. Це окремий вид збройних сил які створюють уряди для розвідки і війни в кібрпросторі. Зазвичай мають кваліфікацію значно вищу за середню, чудово підготовлені тощо, працюють колективами з військовою ієрархією і вкрай небезпечні. Більшість сучасних кібр епідемій, зламів систем тощо — це справа навмисної атак кібр диверсантів.

Руткіт може бути записаний прямо в ROM материнки. Тоді його фактично неможливо відловити. Як варіант — скопіювати важливі данні кудись на флеш чи у клауд, від формувати вінт віднести залізяку в сервісний центр де пере-прошьють материнку в оригінал. Потім поставити усе заново. Звісно одне з головних міст розповсюдження руткітів та іншої малварі — різні трекери з не ліцензійним софтом.

Причина з якої Lenovo у мене в пожиттєвому бан-листі. Ну й ще вони продавали в Україні ноути з Windows 8.1 Single language (Russian!) edition, а модель з DOS, хоч вона й була, не завозили.

Та ж фігня, мало того що це китайська комуністична компанія, так після цього всього:
en.wikipedia.org/...​ity_and_privacy_incidents
я взагалі не розумію хто їх купує.

Просте питання — складна відповідь з запитанями.
1 Аналіз — ви впевненні що він потрібен? Вам вже відповіли — фоормат і все з нуля.
2 Live USB наприклад KDE Neon.
— рекурсивно почистити всі корзини (щоб не сканувати тону мусора)
— ClamAV скан
— прочекати файл хост
— видалити софт який всановлювали (браузер итп)
3 Просканувати вже з самої винди.

Е ще варіанти.
Просто Mac PC — це самий надійний та простий варіант $$

Можно встановити KDE Neon і далі якщо буде потрібна Win OS то встановити KVM + Win
Працює ідеально! Можливо важко це все встановити буде.
І це в тому разі якщо потрібні Вин Софт або розробка под Win OS.

Просто Mac PC — це самий надійний та простий варіант $$

У епла повно вразливостей рівня zero-click, тобто потрібно тільки знати айпішнік жертви — і її беруть під повний контроль.

У епла повно вразливостей рівня zero-click

можна посилання на CVE оцих всіх «повно вразливостей» ?

Пошукайте в гуглі, зазвичай можна знайти CVE, а іноді й детальний розбір всієї атаки (часто вони дуже цікаві і винахідливі та використовують цілу серію вразливостей: наприклад, через вразливість в онлайн календарі додають туди подію з описом в вигляді веб сторінки, а далі через вразливість в парсингу веб контенту проникають далі в систему). З останніх: CVE-2023-37450 Processing web content may lead to arbitrary code execution та CVE-2023-38606 An app may be able to modify sensitive kernel state.

Знайти за маскарадами IP-шник, тут бажаю вдачі. Та треба визнати що «в Маках нема вірусів» це лише рекламна замануха з «Привіт я Мак — а я ПС» не маюча нічого спільного з реальністю. Якщо для системи є можливість писати програмне забеспечення, тобто вона здатна виконувати безліч програм — то можна створити і програму яка наносить шкоду (malvare) — віруси, черві, троянські коні, кей спаї і т.д. і т.п. Єдине що Unix трохи меньше вразливий за Windows.

Підключився до WiFi в кафе — і все. Але так, жодна система не захищена на 100%.

Ну WIFI в кафе більше проблем дає за рахунок того, що там часто зловмисний софт фільтрує трафік. В мене свого часу так вкрали пароль до sip.

А так файрвол плюс vpn зазвичай допомогає в таких місцях.

Та який айпішнік ))) Хто його знає.
Ми навіть не знаемо чи цей топік реал, а не до сео трафіка.....
Ти точняк повинен знати що WIN це булік!

Створила тему на cert ua. Чекаю, чи зможуть вони допомогти.

Зробіть резервну копію диску та полікуйтесь через якийсь LiveCD на флешці antivirus.co.ua/zagr_disk
Це вже як ніде адмінів на горизонті не видно...

Перевстановлення ОС, новий інсталятор ОС, новий SSD/HDD, новий девайс не допомагають?
Це зловмисне ПЗ зараз з нами у цій кімнаті?

Перевстановлення на новий ssd без форматування hdd частково допомогло, але коли я почала створювати користувачів та підключила ноут до інтернету, переписався браузер Edge і, як розумієте, більш завантажити нічого не вдалося. Chrome завантажила вже змінений, антивірус теж нічого не знайшов, хоча видно без цього, що змінені назви файлів. Через декілька днів знову почали ранитися скрипти, хоча їх не було спочатку перевстановлення.

А у вас часом не корпоративний лаптоп? Або ваш обліковий запис — ГЛ-ний. Тоді це ок, що коли ви логінитесь в свій корпоративний акк, починають підтягуватись корпоартивні політики ГЛ-а. Тут можуть бути і свої скріпти, і своя версія браузера, і свій антивірус і все це може інсталюватись без вашої згоди.

Ні, особисті пристрої, поведінка яких може бути небезпечним. Наприклад, вилітає навігатор підчас руху в невідомій місцевості. Добре, що то було не на розв’язці і не на автобані.

А в чому прикол? В мене Waze по 10 разів на дню вилітати може :)

Все, що ви описуєте, ніяк не вказує на якусь вірусну активність.

Ви писали, що файли перейменовуються. Які в які, конкретніше?

Може раз-два вилітав, глюки частіше були, доводилось перезапускати. А от що б 10 разів на день — телефон часом не коммуністичний? /с10+/

В питанні вказана ОС Windows... Останній телефон на windows був декілька років тому.

Чи навігацію на лептопі запускають... ніц не зрозуміло мені.

10 — це гіпербола :)

Вибачте, якщо у вас персональний лептоп, то які користувачі та для чого? Один створює система при інсталяції, а більше не треба в 90% випадків.

Куди скачався Edge? Він в Windows йде браузером за замовченням. Якщо у вас старий дистрібутів, то скачайте новий з сайту Microsoft, зробіть флешку та ставьте з неї.

Старий HDD відформатуйте підчас встановлення, бо якщо там є шкідливі програми, то ви їх можете отримати і в новій системі.

може те все лайно якраз у цьому дистрибутиві живе

Windows 10 All in 1 Zver CD Vasya Pupkin Edition xXxCrackedxXx

Так, це не працює.
Згідно Вашого опису можливо дати тільки загальні рекомендації. Типу переставте все з нуля чи змініть ОС, але не факт, що це Вас влаштує. Треба дивитися, систему, ПО, процеси, порти, патчі, мержу, та що і як ви робите. Це доволі нудний та довгогодинний процес, що потребує широкого світогляду в галузі ИТ і його використовують вкрай обмежено. У випадках, коли потрібно зібрати інформацію для розслідування, чи поновити роботу чи інформацію на технологічно важливій системі. Якщо мова іде про пересічного користувача, то зазвичай план простий: формат диска, установка ОС та ПО образу та відновлення документів з бекапу, як що потрібно.

Як що ви прочитали все вище написане, та все ще налаштовані спробувати тоді:

1. Скопіюйте свої данні на сторонній носій, тобто зробіть бекап важливої інформації. Я маю на увазі суто документи, фото, бази даних.

На іншому комп’ютері, бажано неінфікованому. :) На іншій носій.

2. Завантажте останню версію потрібного дистрибутива Windows з сайту виробника бажано з останніми патчами. Тобто Вам потрібна грановано чиста версія Windows + мінімум всі критично важливі пачті до неї. Судячи з Вашого опису проблемі, я не виключаю що ураження вашої системі може здійснюватися через мережу, через незакриті вразливості ОС чи ПО.
3. Завантажте дистрибутив персональної антивірусної програми з сайту виробника. Зазвичай всі виробники дають місяць безкоштовного використання. Яку програму, любу крім microsoft з топу 10. Топ дивіться тут www.gartner.com/...​oint-protection-platforms
5. Зробіть інсталяційну флешку або DVD з Windows

На ураженному комп’ютері

6. Відключить уражений комп’ютер від мережі. Зробіть повне, форматування жорсткого диска на ураженому комп’ютері.
7. Установіть Windows та пачі.
8. Заведіть локальних користувачів. Важливо, не використовуйте старих паролей придумайте нові ! Не давайте всім адміністраторські права.
9. Установіть антивірус. Налаштуйте йому максимальній рівень захисту та максимальний рівень оповіщення. Запустіть перевірку-санування встановленої системи.
10. Підключіть комп’ютер до мережі. Обновіть бази антивіруса, та поставте всі пачі для ОС
11. Встановіть необхідне ПО
12. Підключить носій з бєкапом своїх даних до комп’ютера та проскануйте їх антивірусом

P/S Як що ураження відбулося, на рівні файлової системи чи через вразливість ОС то план Вам допоможе. Але якщо проблема більш глибша наприклад, вражений UEFI, чи щось подібне тоді план не допоможе.

Непогана інструкція.
Я б ще додав що треба ставити Windows 11 по можливості (див нижче), плюс:
— обов’язково має бути secure boot, bit locker, device guard, мінімальний джентльменський набір
— судячи зі сторі треба б звернути увагу на те що є dma protection learn.microsoft.com/...​rotection-for-thunderbolt
— ну і якщо ми вже говоримо про зовнішні пристрої то треба б виключити автоплей basila.medium.com/...​-permanently-49c4661b831e
— включити в explorer «завжди показувати розширення назв файлів»
— відключити SMB1 якщо є learn.microsoft.com/...​e-smbv1-v2-v3?tabs=server
Дивіться яка краса:

SMB 1.0 also isn’t installed by default in Windows 10, except Home and Pro editions

— враховуючи обставини я б включив learn.microsoft.com/...​ard/md-app-guard-overview теж

Підписатись на коментарі