Tridentifer
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Только за март-апрель уже несколько раз столкнулся с одной и той же разновидностью 'зловреда'. В последний раз - на ноутбуке, на который устанавливаются только casual-игры типа Alawar с rutracker и ничего другого. 'Зловред' выглядит так: в первый раз инсталлируется в систему при установке игры, если же удалить - при запуске уже установленной игры. На rutracker от этого 'открестились', пользователям было предложено... пожаловаться модераторам Подробнее (Win10 1809): Задание в Автозапуске: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Defender (REG_SZ) = C:\Program Files\Windows Defender\MSASCuiL.exe Понятно, что файл отношения к Windows Defender не имеет. Сам Windows Defender при этом отключается политикой: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender - DisableAntiSpyware (REG_DWORD) = 1 Вдобавок отключается UAC через реестр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - EnableLUA (REG_DWORD) = 0 (Локальная политики безопасности: 'Контроль учётных записей: все администраторы работают в режиме одобрения администратором'). Создаётся задание в Планировщике заданий: Microsoft\Windows\Maintenance\WinNAT Оттуда - запуск скрипта 1.vbs, находящегося в C:\ProgramData\Windows\Update Скрипт по триггеру каждые 10 минут проверяет запуск файлов host.exe и profile.exe, находящихся там же (в этой папке куча файлов). Так же скриптом запускается файл task.exe, который находится в C:\Program Files\windows nt\accessories Создаётся служба HKLM\SYSTEM\CurrentControlSet\Services\WinNat Она же запускает драйвер: C:\Windows\system32\drivers\winnat.sys Драйвер похож на системный, но системным не является (заменён). Измененяются IPv4 настройки сетевого адаптера - прописываются 'левые' DNS через задание в Планировщике заданий: Microsoft\Windows\WlanSvc В Брандмауэре Защитника Windows создаются пара правил для исходящих 'зловреда'. Ошибками в Просмотре событий не сыпет, процессор и видеокарту не грузит; обычный пользователь если и заметит что-то, то случайно. Или как вариант - Windows Defender при запуске игры удалит два файла (host.exe и profile.exe) - но в следующий раз он будет уже отключен и помешать не сможет. Видел похожие темы: http://forum.oszone.net/post-2855829.html http://www.cyberforum.ru/viruses/thread2399071.html Но там нет того, что интересует. А интересует пара вопросов - естественно, если Вы от подобного уже кого-то избавляли, и если Вам нетрудно, подскажите: 1. Я вроде бы всё нашёл, но может, что-то упустил? 2. Если возможно, дайте совет - как обычным пользователям от этого защититься, чтобы потом не вычищать следы 'зловреда' 'вручную'? Так-то я вполне понимаю и про повышение прав при запросе, и про практически отсутствующую самозащиту у Windows Defender - и про весь остальной длинный список тоже, любой из пунктов которого подчас может свести к нулю всю защиту у обычных пользователей... | Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 05:00 19-04-2019 | Исправлено: Tridentifer, 05:02 19-04-2019 |
|