WebMoney и Яндекс.Деньги возобновят между собой обмен
От
Invisible
в Новости и события со всего мира
-
Похожий контент
-
От ALGORITMTEHGROUP
Добрый день!
Начали разработку собственного сайта, приобрели домен ранее на нем не находилось никаких сайтов.
Соответственно касперский указывает, что наш сайт является угрозой, что быть никак не может.
Просим Вас удалить наш сайт с Базы угроз.
-
От linktab_new
Защищает ли "KasperskyInternetSecurity Защищённый браузер" буфер обмена (Ctrl+C; Ctrl+V) от шпионских программ в среде Windows 10?
-
От Provizor071
При копировании Ethereum кошелька (не важно от куда) вставляется (не важно куда, главное чтобы скопирован был адрес именно формата Ethereum) левый один и тот же кошелек, На днях провёл полную проверку касперским, под конец выдало, что нашло троян, удалил. Проблема подмены адреса была решена. Но спустя пару дней она вернулась. И вот сейчас тоже самое. При чём вставляется один и ото же подмененный адрес, что и в прошлый раз
-
От JohnDoe
CollectionLog-2023.04.11-20.00.zip
Всем привет!
Столкнулся с трояном, который подменяет адрес биткоин кошелька в буфере обмена.
То есть, если мы копируем адрес для перевода, то после вставки в программу, там будет другой адрес.
И если мы не внимательны, то коины уйдут не по назначению.
Трой активен, но cureit и kvrt ничего не видят.
Больной ПК оперативно отключен от инета и так и будет находиться, обмен через флешку.
История собственного расследования:
*) Отключил все автозагрузки через Autoruns.exe, троян активен
*) Отключил все сервисы, которые можно отключить, троян активен
*) Загрузился в безопасном режиме, троян неактивен
*) Использовал sysmon для события с Clipboard, увидел что в случае активности трояна события идут парой:
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.674
ProcessGuid: {0b0bc379-08f1-6613-8a00-000000000100}
ProcessId: 5124
Image: C:\Program Files\WindowsApps\Microsoft.WindowsNotepad_11.2302.26.0_x64__8wekyb3d8bbwe\Notepad\Notepad.exe
Session: 1
ClientInfo: user: DESKTOP-QON8HQQ\User
Hashes: SHA1=BB3156414437C2B91BCE47036034137C861A1BFF
Archived: true
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.940
ProcessGuid: {00000000-0000-0000-0000-000000000000}
ProcessId: 0
Image: <unknown process>
Session: 0
ClientInfo: user: ?
Hashes: SHA1=1DF582377149EAA23E3DD22306CC9938223FF29E
Archived: true
User: -
Видно, что подмена осуществляется неизвестным кодом.
*) Предположил, что зловред является драйвером.
Через консоль восстановления удалил(предварительно сохранив) все драйверы, которые Windows не запускает в safe mode.
Это деактивировало троян.
Далее удалял драйверы по частям и наконец нашел всего один драйвер, удаление которого деактивирует троян: condrv.sys.
И этого же драйвера + драйверы из safe mode достаточно для запуска троя.
Я проверил этот файл на вирус тотал, и он выглядел чистым, кроме того, файл имел валидную цифровую подпись.
Таким образом, condrv.sys не является трояном, но необходим для его работы. Без condrv.sys не работает cmd.exe.
Где прячется троян совсем не понятно. Есть большое желание его найти и узнать пути проникновения.
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти