Арахна 0 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 (изменено) Чтобы повторно не писать тоже самое другими словами: Доброго времени суток... Началось с того, что в прошедший июнь меня начал яростно одолевать один из старых вирусов *Gael.D* (заражает EXE файлы от имени системы, получая список жертв из ядра системы, ну или как то так). Эта зараза досадно сильно подпортила моё настроение, испортив тучу моих EXEшников... И примерно с того времени, как зарубила заразу, примерно каждые 0.5 - 2 месяца у меня срабатывает оповещение о найденном вирусе. Каждый раз разный тип опознавателя вируса и разные файлы.Последний раз такое срабатывание пришлось на вчерашний день, был заражен один EXE файл в директории одного из ПО (потолстел с 1.0 мб до 6 мб), причем то же самое ПО на других компьютерах имеет как и ожидалось чистый файл. Само ПО в котором обнаружена зараза, уже достаточно давно не запускалось, а функций авто-обновления или прочих внешних задач/сервисов не имеется в ПО.Выходит то, что файл был заражен Третьей стороной. От чего у меня опять нервы дрогнули от произошедшего.Особенности компьютера:* Windows 10 Pro - Лицензия * MS Office 2016 - Пиратская ( KMSAuto )* Прочее ПО для разработки и редактирования всячины... и игры, как же без них )))* Имеется расшаренные в домашней локальной сети *с полным доступом без пароля* (Раб. стол и пару жестких дисков под хранилище файлов (Системный диск не расшарен)) - Файлы на расшаренных местах от вирусов не страдали, а прочие ПК в локалке кристально чисты. * Имеется домен с выходом на этот компьютер* Все внешние соединения (все порты) перенаправляются на этот компьютер, другие ПК изолированны от инициативы из вне.* Постоянно работают в течении года: UTorrent 1.8.2; TeamViewer 13-14, Discord, Chrome, HFS 2.3m То есть, я пришла к такому выводу: В системе имеется скрытый вирус, либо дыра, через которые приходит периодически всякая нечисть.Чем только не проверялась, как только не копала, не получается найти паразита. В связи с тем что нечисть приходит редко и внезапно, отловить момент не представляется возможным, в сетевой активности подозрительностей не наблюдаю.В общем ищу советов, как можно поймать с поличным эту заразу?В этих делах я мало разбираюсь, но как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда так сказать?В родном аудите Windows не разбираюсь, но то что я включила, по мимо целевого, в журнал пишется много лишнего (Активные пути? PATH? на все типы доступа)(можно ли это "по умолчанию" отключить?)И еще заметила в журнале безопасности такую запись, это нормально или нет? Стоит ли беспокоится? (Открой меня нежно): Учетной записи не удалось выполнить вход в систему.Субъект:ИД безопасности: NULL SIDИмя учетной записи: -Домен учетной записи: -Код входа: 0x0Тип входа: 3Учетная запись, которой не удалось выполнить вход:ИД безопасности: NULL SIDИмя учетной записи: ADMINДомен учетной записи:Сведения об ошибке:Причина ошибки: Неизвестное имя пользователя или неверный пароль.Состояние: 0xC000006DПодсостояние: 0xC000006AСведения о процессе:Идентификатор процесса вызывающей стороны: 0x0Имя процесса вызывающей стороны: -Сведения о сети:Имя рабочей станции: -Сетевой адрес источника: 88.151.177.6Порт источника: 0Сведения о проверке подлинности:Процесс входа: NtLmSspПакет проверки подлинности: NTLMПромежуточные службы: -Имя пакета (только NTLM): -Длина ключа: 0Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. В разделе "Борьбы с вирусами" только лишь прогнали по шаблонным авто-тестам, не дав какого либо ответа на поставленные вопросы. Интересуют ответы на эти вопросы: * Как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда, так сказать (Без записи событий Аудита по умолчанию)? * Заметила в журнале безопасности такую запись, это нормально или нет? Стоит ли беспокоится? (Спойлер выше)* По записям журнала безопасности беспрерывно используется запись Гостя (она не активирована с момента установки windows), опять же, это нормально?Заранее спасибо за любую поддержку. Изменено 15 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Как можно сделать логирование (аудит) исключительно только на ЕХЕ на создание/запись/удаление кем, чем и когда, так сказать (Без записи событий Аудита по умолчанию)? как пример, с использованием возможностей антивируса. создаем защищаемый ресурс (возможно несколько для каждого из дисков) и включаем у наблюдаемого из четырех действий Запись в отчет после этого можно наблюдать, кто что делает в отчете 16.03.2019 03.21.26 Подозрительное действие было разрешено Total Commander 32 bit Действие: Изменение D:\$RECYCLE.BIN\S-1-5-21-1930817315-1209928985-4138614430-1001\$RHQ9NX0.exe Программа: Total Commander 32 bit Путь к программе: C:\Program Files (x86)\Totalcmd\TOTALCMD.EXE Время: 16.03.2019 3:21 16.03.2019 03.21.26 Подозрительное действие было разрешено Total Commander 32 bit Действие: Удаление D:\Exampel.exe Программа: Total Commander 32 bit Путь к программе: C:\Program Files (x86)\Totalcmd\TOTALCMD.EXE Время: 16.03.2019 3:21 16.03.2019 03.21.26 Подозрительное действие было разрешено Total Commander 32 bit Действие: Удаление D:\Exampel.exe Программа: Total Commander 32 bit Путь к программе: C:\Program Files (x86)\Totalcmd\TOTALCMD.EXE Время: 16.03.2019 3:21 16.03.2019 03.21.09 Подозрительное действие было разрешено Notepad Действие: Изменение D:\Exampel.exe Программа: Notepad Путь к программе: C:\Windows\notepad.exe Время: 16.03.2019 3:21 PS возможно это избыточно, и требуется откорректировать данную запись не у всей группы Доверенных программ, а у некоторых 4 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 (изменено) как пример, с использованием возможностей антивируса. Только это для касперского, а у ТС защитник виндоус. Так что там намного скудней функционал. шаблонным авто-тестам интересно где же вы авто-тесты увидели если абсолютно всё там анализируется вручную. Изменено 15 марта, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 у ТС защитник виндоус поменяет на другой антивирус Цитата Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Айболит-2010, У меня Касперский установлен на другом компьютере, им системный диск тоже пропускала, он нового неизвестного нечего и не нашел... у меня давно уже утратилась вера в антивирусы, и тащить с собой гиганта Касперского на рабочий ПК, не особо хочется... в особенности когда он еще любит ругаться на что нибудь только что что то скомпилированое..... А платить за лицензию для второго ПК для разового пользования не особо вижу рациональным (Тоже самое с оффисом, пользуюсь раз 10 в год, дай бог)А родной функционал windows как пассивная защита, работает вполне не плохо, как раз для того что бы найти и предупредить... А там уже надежно уже руками вычищать и лечить систему.В особенности, что если учитывать что обнаружение вируса в большей степени ведётся по анализу содержимого/сигнатуре то это должно обходится перекомпилированием себя с новой вариацией обфускации. А нативные API windows и не такое позволяют без контрольно творить. Это к тому, что против продвинутых вирусов антивирусы пока не способны бороться с ними без информации о них. Шаблонные авто-тесты, а что это как ни это? Когда они просто проходятся по известным возможностям/проблемам и не более в указанных статично контрольных местах, выводя в результат по сути готовый результат проверки, который особо анализировать то не приходится, показывая в упор: 1. вот проблема, 2. вот что то неизвестное, 3. вот что то странное... Конечно немного утрируя, но в большей степени сводится для простоты к этому в итоге.Даже не посоветовали банальный Process Monitor... Изменено 15 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 он еще любит ругаться на что нибудь только что что то скомпилированое и правильно делает, а компиляторщик завсегда может настроить исключения по анализу содержимого/сигнатуре это очень устаревшее и в наше время недостаточно что против продвинутых вирусов антивирусы пока не способны бороться с ними без информации о них способны, для этого антивирус должен иметь эвристику, кстати, ваши компиляции тоже для него не известны, но вы почему-то недовольны руганью на них. вы уж определитесь Цитата Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) kmscom, Ага, когда когда скомпилировала проект, подготовила для реализации вынула из базовой папки компановщика, и хорошо если в видишь о уведомлении "чего то подозрительного", а иногда про эту штуку забываешь или отвлекаешься и не замечаешь, и отправляешь на рабочую сервер свежую из печки версию... без маленькой её дольки....... а потом .... .... короче на моей памяти это последний момент, когда у меня стоял какой либо антивирус...Исключения в таких случаях бесполезны, когда перемещаешь каждый раз разное, и еще и в разные места.... ааа............ напрочь не хочу вспоминать этот кошмар, что был после....Конечно истории это хорошо, и я еще не настолько опечалена тем, что появившаяся нечисть, хотя бы кажется не запускается сразу... Изменено 15 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 Исключения в таких случаях бесполезны а это зависит как вы настроили исключения. и перемещение файла по папкам диска, никак не мешает действию правили исключения, при грамотном его настройки Цитата Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) Я не довольна руганью на них, по той простой причине, что они слишком частые, это как терпеть капающие капли воды к себе на лоб... вроде фигня... а с ума сводит. Это касается исключительно особенностей моей профессии, когда настройки антивируса больше мешают, чем помогают Изменено 15 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 15 марта, 2019 Share Опубликовано 15 марта, 2019 это как терпеть капающие капли воды к себе на лоб... вроде фигня... а с ума сводит а что вас сводит с ума сильнее, предупреждения или то, что зараза досадно сильно подпортила моё настроение, испортив тучу моих EXEшников Цитата Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 15 марта, 2019 Автор Share Опубликовано 15 марта, 2019 (изменено) С антивирусом ясно попробую через пару недель пробную поставить и настроить на максимальное остлеживание, ибо сейчас боюсь что пробный лимит времени раньше истечёт, чем настанет момент проявления нечисти.По мимо антивируса, можете еще посоветовать что либо, я надеюсь что вы же всё же гораздо более опытные люди в этой сфере, чем способны просто предлагать авто-тесты? Изменено 15 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений2016 3 Опубликовано 16 марта, 2019 Share Опубликовано 16 марта, 2019 С антивирусом ясно попробую через пару недель пробную поставить и настроить на максимальное остлеживание, ибо сейчас боюсь что пробный лимит времени раньше истечёт, чем настанет момент проявления нечисти. По мимо антивируса, можете еще посоветовать что либо, я надеюсь что вы же всё же гораздо более опытные люди в этой сфере, чем способны просто предлагать авто-тесты? Доброго времени суток ) Уж, как продвинутый пользователь Вы должны знать элементарные правила безопасности. Используйте их: - не допускайте посторонних к рабочему компу - не используйте "левые" флеш-носители - для соцсетей = юзайте режим "инкогнито" браузера - не переходите по ссылкам, которые Вам присылают знакомые и незнакомые - очищайте историю браузеров постоянно - ну и т.д. Самое главное: смените пароли на БОЛЕЕ сложные везде - на учётной записи при входе в комп, на учетке роутера (если есть), на учетке провайдера. Не просто так же у Вас появляются всякие "нечисти" )) Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 марта, 2019 Share Опубликовано 16 марта, 2019 (изменено) В системе имеется скрытый вирус, либо дыра, через которые приходит периодически всякая нечисть. Сетевой доступ и NTFS права настройте для сетевых папок по нормальному. А не так чтобы группа пользователей "Все" имела полные права на папку. А логировать события не вижу смысла. Достаточно включить UAC и работать под ограниченной учетной записью, а не под админом. Большая часть вирусов не способна работать без прав администратора. Еще можно установить какой-нибудь антивирус, например Kaspersky Free Изменено 16 марта, 2019 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Арахна 0 Опубликовано 17 марта, 2019 Автор Share Опубликовано 17 марта, 2019 (изменено) Сетевой доступ и NTFS права настройте для сетевых папок по нормальному. А не так чтобы группа пользователей "Все" имела полные права на папку. А логировать события не вижу смысла. Достаточно включить UAC и работать под ограниченной учетной записью, а не под админом. Большая часть вирусов не способна работать без прав администратора. Еще можно установить какой-нибудь антивирус, например Kaspersky Free Вы правильные вещи говорите, но ваши слова относятся к категории "защиты от заражения", но он уже есть (если говорить про скрытый вирус) и его нужно найти и устранить (Не актуально, конец сообщения). По поводу UAC и ограниченной записи, то вы их вероятно несколько переоцениваете. Создавать ограниченную запись для не самых опытных пользователей это крайне полезно, но есть такой момент: Даже если вы работаете под учетной Администратора, все EXE что вы запускаете или были запущены автозапуском, работают от имени Explorer с правами "Обычного пользователя"(Ограниченные права), для этого и существует пункт к контекстном меню "Запуск от имени великого Админа" ==>> Приводя к следующему, что если вирус что вы запускаете двумя кликами, либо он же запускается каким либо приложением, он будет без прав админа. Ровно до тех пор, пака вы не дадите ему права голоса лично, либо он воспользуется уязвимостью по повышению привилегий. В итоге сказанное выше приводит к следующему: UAC уже не так полезен, по сути он лишь как дополнительный вопрос при запуске чего либо, а при отключенном UAC этот вопрос пропускается, и даётся авто ответ: История о запуске без UAC: *Система* спрашивает у запускаемого *Приложения* - "Тебе админ права нужны?" --- *Приложение* - "Нет" *Система* - "Ну тогда иди работай!" --- (или) --- *Приложение* - "Да" *Система* - "Хрен тебе, иди так работай!" А учетная запись с обычными правами, только добавляет дополнительные этапы для пользователя для запуска EXE с повышенными правами. И как бы я не запускала вирусы двойным кликом, они могут мне нагадить лишь там, где имеют доступ кто угодно из программ, а способов "автозапуска" у них и без того единицы. Конечный вывод таков по сути: Ограниченная запись, для вполне опытного *и выше* уже почти бестолковая вещь, а на UAC применяем выше сказанное про "ложно-положительные" и получается - такая себе защита.... ............ не поняла... мои слова про "ложно-положительные" пропали... странно, ну да ладно: "Если на 1000 ложно-положительных приходится 1 истинно положительный - с большой долей вероятности, истинный будет воспринят за ложный - фактор человечности" А сетевой доступ на полный доступ выделен не просто так, а по необходимости. За это так сказать, сама отвечаю своей головой. Если что, то последние заражение было произведено вне общего сетевого доступа. Еще хочу отдельно отметить: что большей части вирусов повышенные прав это лишь гарантированный способ их автозапуска с полным доступом, без этой возможности большинству для своих злодеяний достаточно одного запуска и немного времени (шифровальщики, сливаторы документов и тд) Кстати, из за своей невнимательности я упустила из виду самый первый пост от kmscom, спасибо ему большое, за самое что ни есть пожалуй сейчас самое нужное. Пойду попробую этот функционал на другом компьютере, удивительно то, что я и не знала об этой возможности в Касперском, хотя чего тут, я его особо и не тыркала по сути почти никогда без надобности. Тогда как найду эту заразу/дыру, постараюсь не забыть отписаться здесь. Если это будет не определяющийся вирус, то его отправлять через форму где то на сайте, я правильно помню ведь? Изменено 17 марта, 2019 пользователем Арахна Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 марта, 2019 Share Опубликовано 17 марта, 2019 Ровно до тех пор, пака вы не дадите ему права голоса лично, либо он воспользуется уязвимостью по повышению привилегий. Для этого и нужен антивирус собственно, а чтобы вирус не мог воспользоваться уязвимостями самой ОС и сторонними приложениями необходимо их своевременно обновлять, например с помощью Secunia и центра обновлений Windows. UAC уже не так полезен, по сути он лишь как дополнительный вопрос при запуске чего либо Вот он как раз и не позволяет запускать без вашего ведома программы, которые требуют права Администратора. Конечный вывод таков по сути: Ограниченная запись, для вполне опытного *и выше* уже почти бестолковая вещь А что опытный пользователь не может ошибаться при работе за компьютером? Вот я например работаю только под ограниченной учетной записью, а под административной учетной записью почти не работаю. А сетевой доступ на полный доступ выделен не просто так, а по необходимости. А это дырка. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.