-
Похожий контент
-
-
Автор KL FC Bot
Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.
Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.
Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.
Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса
Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.
Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.
На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.
Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.
View the full article
-
-
Автор Taker1993
Добрый день. Борюсь с этим майнером уже приличное время, пробовал разные антивирусы и думал что он пропал, так как используя несколько разных антивирусов от основной части майнера я вроде избавился, но заметил ещё тогда что много ошибок в системе 0xc0000017 при исполнении команд dism в командной строке (которую я вчера исправил), при обновлении всех компонентов windows и т.п. (пробовал откатывать удаляя по гайдам папку с апдейтами используя утилиты для активации обнов - но безрезультатно), также есть ошибка с безопасностью, в начале была проблема с целостностью ядра и я удалил два мешающих файла исправив проблему, но ошибка с этим так до конца и не решилась и он пишет про отсутствие TPM - а конкретно NET HELPMSG 2182 Problem with BITS; также есть проблема с невозможностью запуска диспетчера устройств и других подобных окон и некоторых команд в комбинации Win+R. Почему я думал, что избавился от майнера полностью: грузить систему перестало на постоянке и сильных нагрузок не было, а с остальным думал уже ничего не сделаешь и нужно переустанавливать Windows, оставил на потом, так как есть немало сторонних лицензионных программ,, которые шли вместе с ноутбуком и я боялся к ним потерять доступ, ну и так как не было точек восстановления и если даже они были я не могу к ним получить доступ, а оказывается всё-таки нет майнер на месте.
Несколько месяцев спустя заметил, а конкретно вчера: что изменилась возможность администрирования и я не могу получить доступ к системным файлам, не мог удалить, изменять, переименовывать файлы которые вызывали нарушение целостности ядра (xusb21.sys и STTub30.sys), но по итогу через стороннюю утилиту я их удалил (один из них STTub30.sys я потом воcстановил найдя на github). Вернул также сегодня в ночь через реестр доступ к DISM и сделал успешный запуск и восстановление по команде Dism /Online /Cleanup-Image /RestoreHealth, а SFC и прежде работала, но это ничего не поменяло; вообще все последние именно операции делал по одному гайду и там после восстановления DISM советовали воспользоваться Farbar Recovery Scan Tool 64-бит, но наткнулся поздновато и это не помогло, так как нужен составленный fixlist.txt, да и Fabar раз 6 выдал ошибку при сканировании bcdedit.exe (в процессе написания текста сделал повторное сканирование c Fabar и ошибок было уже штуки 3-4 bcdedit.exe, а результаты этого сканирования прикрепил в качестве файлов Addition.txt и FRST.txt вдруг пригодятся).
Сегодня заметил, что даже с включённым лицензионным Касперычем майнер снова поменял и ограничил что-то там в брандмауэре Windows - было уведомление (понимаю, что он уже давно в исключениях, но всё же). Ни Kaspersky Virus Removal Tool, ни Dr.Web Cruelt! ни нашли ничего, вероятно майнер добавил их уже в исключения, так как при удалении основных компонентов майнера я уже пользовался ими раньше, но до этого я пользовался AV block Remover и он удалял майнер, но спустя время он появляется снова.
Был бы очень рад если бы получилось решить данную проблему, Windows лицензионный шедший вместе с ноутом переустанавливать всё же не хочется и я не уверен что и там не будет ошибок в процессе.
Заранее всем откликвнушимся большое спасибо и с пасхой!
CollectionLog-2025.04.20-14.19.zip Addition.txt FRST.txt
-
Автор KL FC Bot
В погоне за безопасностью многие готовы установить любое приложение, которое пообещает надежную защиту от вредоносов и мошенников. Именно этим страхом умело пользуются создатели нового мобильного шпиона LunaSpy, распространяющегося через мессенджеры под видом антивируса. После установки фейковый антивирус имитирует работу настоящего — сканирует устройство и даже выдает пугающее число найденных угроз. На самом деле, никаких угроз он не обнаруживает, а просто шпионит за владельцем зараженного смартфона.
Как действует новый зловред и как от него защититься — читайте в нашем материале.
Как шпион попадает в телефон
Мы обнаружили новую вредоносную кампанию, направленную на пользователей Android в России. Она активна как минимум с конца февраля 2025 года. Шпион попадает на смартфоны через мессенджеры под видом не только антивируса, но и банковских защитников. Выглядеть это может, например, так:
«Привет, установи вот эту программу». Потенциальной жертве может прийти сообщение с предложением установить ПО как от незнакомца, так и от взломанного аккаунта человека из контактов — так, например, угоняют аккаунты в Telegram. «Скачайте приложение в нашем канале». В Telegram ежесекундно появляются новые открытые каналы, поэтому вполне можно допустить, что некоторые из них могут распространять вредоносное ПО под видом легитимного. После установки фейковое защитное приложение показывает вымышленное число обнаруженных угроз на устройстве для того, чтобы вынудить пользователя предоставить все возможные разрешения якобы для спасения смартфона. Так жертва собственноручно открывает приложению доступ ко всем личным данным, даже не догадываясь о настоящих мотивах лжезащитника.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти