Перейти к содержимому


Roman_Five's blog



Фотография

Поиск уязвимостей

Написано Roman_Five , 20 Апрель 2011 · 1 230 Просмотров

Для поиска уязвимостей в используемом ПО существует масса способов. Остановимся на двух.
1. Поиск уязвимостей средствами KIS 2011/2012. Подробнее - здесь.
2. Поиск уязвимостей с помощью FileHippo.com Update Checker
Данный способ подойдёт тем, у кого не установлен KIS 2011/2012. Чтобы им воспользоваться, необходимо произвести несколько манипуляций.
- Заходим на главную страницу портала FileHippo.com. Вверху справа по ссылке переходим на страницу для загрузки бесплатной утилиты для онлайн проверки на уязвимости - FREE Update Checker.
Прикрепленное изображение

- Запускаем скачивание утилиты.

Прикрепленное изображение

- Устанавливаем её на PC.

Прикрепленное изображение

- После окончания инсталляции в трее появится пиктограмма утилиты FileHippo.com Update Checker. Нажав на неё правой кнопкой мыши, выбираем пункт "Settings"

Прикрепленное изображение

- На вкладке "Results" целесообразно выбрать скрытие beta-обновлений.

Прикрепленное изображение

-При использовании прокси сервера необходимо прописать настройки на вкладке "Connection".

Прикрепленное изображение

Всё. Основные настройки окончены.
- Правый клик мышью на пиктограмме в трее - "Scan for updates...". Затем - "View results". При нахождении новых версий используемых программ откроется окно браузера со ссылками для загрузки актуальных версий инсталляторов данных программ.
- Запустить проверку на уязвимости можно в любое время через ярлык программы.


Фотография

"Где мои папки?" / "Злобный Worm.Win32.Radminer.d"

Написано Roman_Five , 21 Январь 2011 · 2 687 Просмотров

В своей первой записи в блоге я писал, что у меня на работе есть отличный полигон, где можно оттачивать навыки борьбы с вредоносами. Обычно я не вмешиваюсь в работу соответствующих служб университета, которые должны обеспечивать бесперебойную работу медиа-центра...
В один прекрасный момент (для меня он тогда ещё был прекрасным :acute: - предновогоднее настроение как-никак) и преподаватели, и студенты стали жаловаться, что на их флэшках после "соприкасания" с PC медиацентра странным образом исчезают папки.
- Подумаешь! - сказал я...
- Очередной "выверт" Trojan.Win32.FlyStudio или Trojan-Dowloader.Win32.FlyStudio - на папки ставится атрибут "скрытый" и создаются с аналогичными именами экзешники.
Как оказалось, я был не прав. На папки не ставился атрибут "скрытый" - они просто исчезали... И в то же время были на месте. В любом файловом менеджере их не было видно, а вот при проверке KIS - в отчёте фигурировали...
Моё терпение лопнуло, когда такой-же казус приключился в последние предновогодние дни и у меня. На моих глазах все папки резко исчезли и появились <name>.exe.
Виновник - Worm.Win32.Radminer.d.
На тот момент я ещё не знал, что эти последствия легко исправляются "не-кривыми-руками", поэтому действовал по старинке: восстанавливал папки с помощью Recovery My Files, форматировал флэшку и записывал обратно восстановленную информацию.
После этого написал даже в вирлаб запрос на дополнительное описание вредоноса (касаемо его деструктивных действий с папками), чтобы можно было быстрее восстанавливать "побитые" флэшки... Они мне мило ответили, что, мол, не в нашей компетенции - обращайтесь в ТП. А что я скажу ТП? Что радминера пропустили DrWeb (со свежими базами) и NOD32 (со старыми)? Последует логичный вопрос: "А мы здесь при чём?.." И он будет правильным...
Вчера нашёл в себе силы и сделал пару логов в "больных" PC. Написал универсальный скрипт. Быстро пролечил все рабочие станции с помощью AVZ.

Далее последует информация, которая должна использоваться только опытными пользователями!
Симптоматика присутствия Worm.Win32.Radminer.d на компьютере:
- пропадают папки на сменных носителях при подключении (даже при отображении скрытых и системных);
- в диспетчере задач (Ctrl+Shift+Esc) в процессах висит :services.exe.
Лечение:
выполнить в AVZ скрипт (файловая система дисков - NTFS; на FAT32 не тестировал!)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('%SysDisk%\:services.exe');
 QuarantineFile('%system32%\config\svcset.bat','');
 QuarantineFile('%system32%\config\AdmDll.dll','');
 QuarantineFile('%system32%\config\raddrv.dll','');
 QuarantineFile('%system32%\config\svchost.exe','');
 QuarantineFile('%system32%\config\svcset.reg','');
 QuarantineFile('%SysDisk%\:services.exe','');
 DeleteFile('%system32%\config\svcset.bat');
 DeleteFile('%system32%\config\AdmDll.dll');
 DeleteFile('%system32%\config\raddrv.dll');
 DeleteFile('%system32%\config\svchost.exe');
 DeleteFile('%system32%\config\svcset.reg');
 DeleteFile('%SysDisk%\:services.exe');
 DelAutorunByFileName('%SysDisk%\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Возврат папок:
- либо поместить в корень "битого" сменного носителя cmd-файл из архива и запустить на исполнение (появится новая папка lostdir - всё, что было скрыто)
Прикрепленный файл  recovdir.zip (142байт)
скачиваний: 469
- либо в TotalCommander'e в командной сроке набрать:
cd e2e2~1
- перенести из папки lostdir или e2e2~1 (в зависимости от способа отображения скрытой папки ..) всё содержимое в корень.


Фотография

Набор утилит (antimalware by LK)

Написано Roman_Five , 03 Апрель 2010 · 455 Просмотров

Случилось мне недавно "разгребать" последствия вовремя не установленного антивирусного ПО на компьютерах медиацентра на работе...

Для справки: "...учебный компьютерный медиацентр создается на базе компьютерной лаборатории и является центром накопления электронных материалов, медиаконтента, программного обеспечения по заранее определенному учебному и научному направлению".

На тот момент на большинстве компов стоял тандем USB Disk Security + ESET NOD 32 4 версии. На одной машине был только USB Disk Security (админы поздно спохватились - за попытку установки любого "антивирусника" кто-то :D сильно бил по рукам и всё это дело пресекал на корню). Стал замечать, что студенты после посещения медиацентра стали чаще притаскивать флешки со скрытыми папками и одноимёнными экзешниками в корне (с иконкой как у папки). Виновник - Trojan-Downloader.Win32.FlyStudio.? (вкратце писал в теме про преимущества/недостатки USB Disk Security.

На мой вопрос инженеру медиацентра "доколе будем мы терпеть разгул всякой нечисти на компах? :D " внятного ответа не получил, поэтому во время очередной пары в данной компьютерном классе решил сам сделать зачистку. Начал с самого проблемного компа, где местные сисадмины не смогли поставить ни "симантека", ни "нода".

Спокойно вставленная в USB-разъём флеша подверглась множественному надругательству, а именно (как потом показало "вскрытие"): часть папок получило атрибут "скрытый", в корне "нарисовалось" такое же количество *.exe; появилась левая папка корзины с вложенным файлом *.vmx; экзешники в папке с софтом "потяжелели". Итого, были выявлены три зверька: FlyStudio, Kido и Sality.

Обычный AVZ "прибивался" через 2 секунды после запуска... Диспетчер задач, редактор реестра, безопасный режим - заблокированы.

От 2 и 3 заразы комп лечил с помощью соответствующих фирменных утилит by LK. FlyStudio "прибивал" с помощью AVZ.

После этого решил сделать командный файл для поэтапного запуска различных утилит Лаборатории Касперского, чтобы экономить время при работе с несколькими компьютерами. Из всего перечня выбрал почти все небольшие по размеру утилиты, за исключением KL Anti-FunLove и Anti-Nimda, т.к. они "заточены" на довольно старые малвари.

Практически у всех утилит есть дополнительные параметры для работы в интерактивном режиме, т.е. с минимальным участием пользователя (ключи /y или -y). Используя утилиты с такими ключами, можно пакетно запустить поочерёдное выполнение практически всех утилит без нажатия дополнительных клавиш.

Пример cmd-файла:
@echo off
SalityKiller.exe -y
KK.exe -y
CLRAV.COM /y /nr /rpt=crrav.txt
klwk.com /y /nr /rd /rpt=klwk.txt
ZBotKiller.exe -y
kateskiller.exe -y
virutkiller.exe -y
antiboot.exe
digita_cure.exe -y
PMaxKiller.exe
TDSSKiller.exe

Две утилиты, которые требуют нажатия любой клавиши, поставил в конце - времени на их работу (при отсутствии специфического заражения) требуется до 5 секунд.

В одну папку поместил все утилиты и cmd-файл, создал из них самораспаковывающийся rar-архив, в параметрах которого выбрал запрет на изменение, распаковку во временную папку и запуск после распаковки cmd-шника.

Прикрепленное изображение Прикрепленное изображение

В итоге имеем exe-файл размером 1,3 МБ, способный "побороться" с приличным количеством разношёрстных "зверьков". Вся процедура проверки на средних машинках проходит минут за 20. Чтобы не тратить время, все остальные машины в медиацентре были проверены ею, а затем уже были подготовлены отчёты AVZ для лечения FlyStudio.





Апрель 2018

П В С Ч П С В
      1
2345678
9101112131415
16171819202122
232425 26 272829
30      

Последние комментарии

пользователей просматривает

0 пользователей, 0 гостей, 0 анонимных

Поиск по блогу

Последние посетители

  • Фотография
    Sandor
    30 мая 2017 - 11:34
  • Фотография
    Vob
    11 дек. 2014 - 19:37
  • Фотография
    Roman_SO
    16 дек. 2013 - 11:50
  • Фотография
    mike 1
    23 нояб. 2013 - 23:56
  • Фотография
    bobro-dvas
    22 нояб. 2013 - 10:05