Лидеры

В августе 2018 года мне, а также еще 18ти счастливчикам, довелось поучаствовать в праздновании двенадцатилетия фан-клуба Лаборатории Касперского. Одна программа празднования уже свидетельствовала о том, насколько насыщенно мы проводили время: Я точно знаю, что если бы не выбор организаторов поездки, то никогда бы не посетил столь экзотическую страну. И Анкор Ват для меня остался бы храмом, который строится в игре «Цивилизация». Но вот приключение кончилось, оставив после себя только самые позитивные воспоминания и море фотографий. До начала поездки (еще у аэроэкспресса) Кристина подарила всем участникам празднования море полезных вещей: бутылочки для кремов, подушку, спец.пояс непромокаемый для документов и телефона, дорожный несессер и прочее-прочее. При этом все празднование (проезд, визы, пропуски, питание в отличных ресторанах, проживание в пятизвездочных отелях, услуги гида, скоростного катамарана, тук-туков и прочее – вообще все, что только можно себе представить) было оплачено Лабораторией Касперского. Только представьте, что у нас было одних только авиаперелетов 6 штук. Из них 2 до Сингапура по 12 часов. 1 заплыв на лодке. 1 заплыв на катамаране. 1 полет на воздушном шаре. Море поездок на тук туках (массово – на 2х человек по тук-туку, хотя туда можно было поместить шестерых). Массовый заезд на велосипедах. Многочисленные поездки на автобусах. Море полетов на зип лайне. Купание в открытом океане у кораллов. Мы прекрасно кушали в 9 ресторанах (в одном была экзотическая танцевальная программа). 5 посещений бизнес залов аэропортов (тут отдельное спасибо Кристине и Игорю). Более того, в Сингапуре благодаря правильно заказанным билетам и совету Игоря удалось получить и успешно потратить в дьюти фри ваучер на 20 долларов – опять-таки заметьте, бесплатно для меня. Я очень благодарен за приглашение. Всем, кто читает эту запись рекомендую – общайтесь на форуме фан-клуба, получайте клабы и у вас появится реальный шанс отпраздновать очередное день рождения там, где вы вряд ли окажетесь самостоятельно, а тем более – никогда не окажетесь такой большой и дружной компанией!

Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории. В схожих запросах от пользователей встречали следующее: Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе. Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно. Необходимо самостоятельно заменить файл на оригинальный. Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe Стоит сразу проверить указанный файл. В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей) Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные: "%SystemRoot%\\system32\\osk.exe", "%SystemRoot%\\syswow64\\osk.exe", "%SystemRoot%\\system32\\magnify.exe", "%SystemRoot%\\syswow64\\magnify.exe", "%SystemRoot%\\system32\\displayswitch.exe", "%SystemRoot%\\syswow64\\displayswitch.exe", "%SystemRoot%\\system32\\atbroker.exe", "%SystemRoot%\\syswow64\\atbroker.exe", "%SystemRoot%\\system32\\utilman.exe", "%SystemRoot%\\syswow64\\utilman.exe", "%SystemRoot%\\system32\\sethc.exe", "%SystemRoot%\\syswow64\\sethc.exe", "%SystemRoot%\\system32\\easeofaccessdialog.exe", "%SystemRoot%\\syswow64\\easeofaccessdialog.exe", "%SystemRoot%\\system32\\narrator.exe", "%SystemRoot%\\syswow64\\narrator.exe", Найти проблемный файл можно следующим образом: Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1 Ссылки по теме: https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/ https://attack.mitre.org/wiki/Technique/T1015 http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта. НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.