-
Похожий контент
-
Автор Snak3EyeS92
Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?
CollectionLog-2025.03.15-19.18.zip
-
Автор rcbsbss
Сегодня были зашифрованы сервера и компьютеры входящие в домен. В результате при включении компьютера появляется сообщение "Обратитесь в телеграмм...". Пользователь телеграмм @dchelp. Был установлен антивирус Касперского с новыми базами, он пропустил. Сервер Касперского также был заражен. Просим помочь!!!
-
Автор KL FC Bot
Умный дом сегодня — это не фантастика из фильмов конца девяностых, а реальность практически каждого жителя мегаполиса. Умные розетки, колонки и телевизоры можно встретить практически в любой современной квартире. А что касается новых домов, то их иногда и вовсе сразу же строят умными, получаются умные жилые комплексы. Их жители могут с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
Но что будет, если в таком приложении окажется дыра в безопасности? Ответ знают наши эксперты из Global Research and Analysis Team (GReAT). Мы обнаружили уязвимость в приложении Rubetek Home и рассказали, что могло бы случиться с безопасностью владельцев умных квартир и домов — но, к счастью, не случилось.
Что за уязвимость
Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
Проблема в том, что отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
View the full article
-
Автор KL FC Bot
Чуть больше года назад в посте Google OAuth и фантомные аккаунты мы уже обсуждали, что использование опции «Вход с аккаунтом Google» в корпоративные сервисы дает возможность сотрудникам создавать фантомные Google-аккаунты, которые не контролируются администратором корпоративного Google Workspace и продолжают работать после оффбординга. Недавно выяснилось, что это не единственная проблема, связанная с OAuth. Из-за недостатков этого механизма аутентификации любой желающий может получить доступ к данным многих прекративших деятельность организаций, перерегистрировав на себя брошенные компаниями домены. Рассказываем подробнее об этой атаке.
Как работает аутентификация при использовании «Вход с аккаунтом Google»
Некоторые могут подумать, что, доверяя опции «Вход с аккаунтом Google», компания получает надежный механизм аутентификации, использующий продвинутые технологии Google и широкие возможности интернет-гиганта по мониторингу пользователей. Однако на деле это не так: при входе с Google OAuth применяется достаточно примитивная проверка. Сводится она, как правило, к тому, что у пользователя есть доступ к почтовому адресу, который привязан к Google Workspace организации.
Причем, как мы уже говорили в предыдущем материале о Google OAuth, это вовсе не обязательно Gmail — ведь привязать Google-аккаунт можно совершенно к любой почте. Получается, что при использовании «Входа с аккаунтом Google» доступ к тому или иному корпоративному сервису защищен ровно настолько надежно, насколько защищен почтовый адрес, к которому привязан Google-аккаунт.
Если говорить несколько более подробно, то при аутентификации пользователя в корпоративном сервисе Google OAuth отправляет этому сервису следующую информацию:
В теории в ID-токене Google OAuth есть уникальный для каждого Google-аккаунта параметр sub, но на практике из-за проблем с его использованием сервисы проверяют лишь домен и адрес электронной почты. Источник
View the full article
-
Автор distress
Добрый день, получилось так что словил серьезный майнер с автозапуском порно-сайта через редирект.
Все что похожее есть по другим темам прочитал, понял что все очень индивидуально, у каждого свои логи и вариант решения. Переустановить систему нет возможности, стоят важные программы, файлы.
Скачал AV block remover и сделал collectionlog, файлы прикрепляю.
Помогите пожалуйста.CollectionLog-2024.05.15-22.04.zipAV_block_remove_2024.05.15-18.34.log
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти