Перейти к содержанию

Apple Push в засаде (UDS:DangerousObject.Multi.Generic)


ArtyomYurakov

Рекомендуемые сообщения

Проблема началась в ночь на 9 апреля (UTC+7). Согласно 30-дневному отчёту и данным из самой антивирусной программы Kaspersky Free for Windows, было найдено несколько случаев заражения. В отчёте есть такие данные: файл: C:\Windows\SysWOW64\el-GR\S-1-5-29\Riched32.dll  Программа: Apple Push, Тип объекта: UDS:DangerousObject.Multi.Generic. Все найденные заражённые объекты были помещены в карантин, а затем удалены. Две последние полные проверки показали отсутствие заражения. Однако, антивирус по прежнему сообщает о том, что программа Apple Push пытается открывать опасные веб-адреса приблизительно каждые 15 минут. При этом: ни в автозагрузках windows, ни в диспетчере задач, ни в списке установленных программ нет ни одной программы от Apple. Вызов опасных веб-адресов происходит не зависимо от того работает браузер или нет.


Что это такое, где лежит, и как это нечто можно выгрызти?


Антивирус: Kaspersky Free for Windows


ОС: Windows 8.1


CollectionLog-2020.04.13-21.23.zip

KAV-log30.txt

Изменено пользователем ArtyomYurakov
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Если есть такой файл

C:\Windows\NodeService\0\run.js

аккуратно его упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, Sandor. Выполнил все инструкции в указанной последовательности, при выключенном Брандмауэре Windows и приостановленной защите KAV.

 

Программа AdwCleaner ничего не нашла, так как впервые запускалась мной 12 апреля. Тогда было найдено 4 записи в реестре и 4 URL в Хроме. Для объективности картины прилагаю и тот отчёт. 

 

На данный момент KAV продолжает находить и блокировать переходы по опасным ссылкам, запускаемым программой видимой как "Apple Push" в 0, 15, 30 и 45 минут каждого часа. Я покрутил туда-сюда часы на компьютере. Она системное время использует для запросов.

Run_js.zip

AdwCleanerS00.txt

AdwCleanerS00_120420.txt

post-58099-0-34191100-1586869062_thumb.jpg

Изменено пользователем ArtyomYurakov
Ссылка на комментарий
Поделиться на другие сайты

KAV продолжает находить и блокировать переходы по опасным ссылкам

При этом открыт какой-либо браузер? Если да, какой?

 

Ваш провайдер случайно не "Ростелеком"?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

В-основном, использую Chrome, редко IE.

 

Поведение проявляется такое:

 

1. Переходы по опасным ссылкам обнаруживаются KAV при открытом или закрытом браузере (Chrome).

2. Переходы по опасным ссылкам обнаруживаются, если после перезагрузки ОС пользователем не выполнялось никаких действий, кроме включения интернет-соединения.

3. Если интернет-соединение выключено, то никаких сообщений KAV или других предупреждений о попытке программы установить связь не появляется. Всё тихо.

4. Определённым образом реагирует на изменение системного времени. Переходить по опасным ссылкам оно пытается только при перемотке времени вперёд, как будто хранит в памяти время прошлого запроса. Однако, горячая перезагрузка Windows стирает эту память. 

 

Провайдер DOM.RU. Доступ от Ростелеком уже много лет не использую.

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Task: {F92E45AD-BE23-4E52-97E7-3226D2F43C7A} - System32\Tasks\MoonTitle => C:\Windows\NodeService\0\node.exe [20769944 2018-12-30] (Node.js Foundation -> Node.js)
    Toolbar: HKU\S-1-5-21-1791092331-3233558559-95803741-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Кажется, я ошибся при запуске FRST64.exe. Запуск был через обычное двойное нажатие. Хотя, учётной записи пользователя присвоены права администратора.

 

Перед нажатием "Fix" присланный код был скопирован в буфер обмена указанным способом. Выполнено единожды.

 

Поведение "Apple Push" без изменений.

 

Fixlog.txt

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Александр Кравчук

доброго времени суток, со вчерашнего дня у меня абсолютно таже проблема, только не было случаев заражения, 

вэб-антивирус присылает уведомления о блокировке перехода по ссылке программы Apple Push 

ни один браузер не включен, если только в фоне

процедуры выше описанные не помогли

провайдер Ростелеком

найти программу Apple Push - не смог

компьютеров в сети 3, использование домашнее, компьютеры детей не проверял на предмет вирусов

Изменено пользователем Александр Кравчук
Ссылка на комментарий
Поделиться на другие сайты

@Александр Кравчук, здравствуйте!

 

Не пишите в чужой теме, выполняйте правила раздела.

 

процедуры выше описанные не помогли

Не удивительно, т.к. пишутся индивидуально.

Создайте свою тему и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

К сети подключаетесь через роутер? Если да, один компьютер?

Компьютер подключён напрямую к оборудованию провайдера через LAN-кабель.

Ссылка на комментарий
Поделиться на другие сайты

Найдите способ для теста подключиться через другого провайдера (через usb-модем или через телефон) и сообщите результат.

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

1. Отсоединил LAN-кабель DOM.RU

2. Выполнил холодную перезагрузку.

3. Провёл тестовое подключение через USB Wi-Fi модем YOTA

 

Поведение "Apple Push" от смены провайдера не изменилось.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Malwarebytes v.4. Установите и запустите.

(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").

Запустите Проверку и дождитесь её окончания.

Самостоятельно ничего не помещайте в карантин!!!

Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kir_new
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • KL FC Bot
      Автор KL FC Bot
      Исследователи обнаружили целую серию серьезных дырок в технологии Apple AirPlay. Это семейство уязвимостей и потенциальные эксплойты на их основе они назвали AirBorne. Данные баги могут быть использованы по отдельности или в сочетании для проведения беспроводных атак на разнообразную технику, поддерживающую AirPlay.
      Речь в первую очередь идет об устройствах Apple, но не только о них: существует целый ряд гаджетов от сторонних производителей, в которые внедрена данная технология, — от умных колонок до автомобилей. Рассказываем подробнее о том, чем эти уязвимости опасны и как защитить свою технику с поддержкой AirPlay от возможных атак.
      Что такое Apple AirPlay
      Для начала немного поговорим о матчасти. AirPlay — это разработанный Apple набор протоколов, которые используются для стриминга аудио и (все чаще) видео между пользовательскими устройствами. Например, с помощью AirPlay можно стримить музыку со смартфона на умную колонку или дублировать экран ноутбука на телевизоре.
      Все это без дополнительных проводов — для стриминга чаще всего используется Wi-Fi или, на худой конец, проводная локальная сеть. Отметим, что AirPlay может работать и без централизованной сети (проводной или беспроводной), используя Wi-Fi Direct, то есть прямое подключение между устройствами.
      Логотипы AirPlay для видеостриминга (слева) и аудиостриминга (справа) — если у вас есть техника Apple, то вы их наверняка видели. Источник
      Изначально в качестве приемников AirPlay могли выступать только некоторые специализированные устройства. Сначала это были роутеры AirPort Express, которые могли выводить на встроенный аудиовыход музыку из iTunes. Позже к ним присоединились ТВ-приставки Apple TV, умные колонки HomePod и похожие устройства от сторонних производителей.
      Однако в 2021 году в Apple решили пойти несколько дальше и встроили приемник AirPlay в macOS — таким образом пользователи получили возможность дублировать экран iPhone или iPad на свои «Маки». В свою очередь, несколько позже функцией приемника AirPlay наделили iOS и iPadOS — на сей раз для вывода на них изображения с VR/AR-очков Apple Vision Pro.
      AirPlay позволяет использовать для стриминга как централизованную сеть (проводную или беспроводную), так и устанавливать прямое подключение между устройствами Wi-Fi Direct. Источник
      Также следует упомянуть технологию CarPlay, которая, по сути, представляет собой тот же AirPlay, доработанный для использования в автомобилях. В случае с CarPlay приемниками, как несложно догадаться, выступают головные устройства машин.
      В итоге за 20 лет своего существования AirPlay из нишевой фичи iTunes превратилась в одну из магистральных технологий Apple, на которую теперь завязан целый набор функций «яблочной» экосистемы. Ну и самое главное: на данный момент AirPlay поддерживается сотнями миллионов, если не миллиардами, устройств, значительная часть которых может выступать в качестве приемников AirPlay.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В начале этого года Apple объявила о ряде новых инициатив, направленных на создание более безопасной среды для детей и подростков, использующих устройства компании. Помимо упрощения настройки детских аккаунтов, организация обещает, что родители смогут делиться информацией о возрасте своих детей с разработчиками приложений — для контроля над тем, какой контент те показывают.
      По словам Apple, эти обновления станут доступны для родителей и разработчиков позже в этом году. В нашем посте разберем новые меры, представленные компанией, их достоинства и недостатки. Заодно расскажем, при чем тут Instagram*, Facebook* и прочая Meta**, а также поговорим о том, как технологические гиганты пытаются откреститься от ответственности за ментальное здоровье юных пользователей.
      До обновлений: как Apple защищает детей прямо сейчас
      Прежде чем рассказывать о будущих нововведениях компании Apple в отношении родительского контроля, давайте быстро разберемся, каков status quo — то есть как на данный момент обстоят дела с родительским контролем на устройствах Apple. Напомним, что компания представила первые возможности родительского контроля в далеком июне 2009 года, еще в третьем айфоне, и неторопливо развивала их все эти годы.
      На данном этапе на устройствах Apple дети до 13 лет обязательно должны пользоваться особыми «детскими аккаунтами». Такие аккаунты позволяют родителям иметь доступ к функциям родительского контроля, которые существуют внутри «яблочной» операционной системы. По решению родителей подросток может продолжать пользоваться детским аккаунтом вплоть до 18 лет.
      Как выглядит центр управления детскими аккаунтами Apple сейчас. Источник
      Перейдем к нововведениям. Компания анонсировала серию изменений в системе детских аккаунтов, связанных со способом подтверждения статуса родителя. Кроме того, будет позволено изменять возраст ребенка в системе, если он по ошибке был введен неправильно. Раньше для аккаунтов пользователей младше 13 лет это было невозможно от слова «совсем». Apple предлагала «подождать, пока возраст учетной записи не увеличится естественным образом». Для пограничных случаев (аккаунтов с возрастом чуть менее 13 лет) можно было использовать многоходовочку со сменой даты рождения — скоро в таких хитростях не будет необходимости.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Интересную атаку, точнее, сразу две атаки с использованием двух разных уязвимостей в процессорах Apple, недавно продемонстрировали исследователи из университетов Германии и США. Представьте себе, что кто-то присылает вам ссылку в чате. Вы открываете ее, и там на первый взгляд нет ничего подозрительного. Никто не просит ввести ваш пароль от рабочей почты, не предлагает скачать сомнительный файл. Возможно, на странице даже есть что-то полезное или интересное. Но пока вы это полезное просматриваете, скрытый код читает информацию из соседней вкладки браузера и таким образом узнает, где вы находитесь в данный момент, что вы в последний раз покупали в популярном интернет-магазине, или, например, похищает текст электронного письма.
      Описание атаки выглядит достаточно просто, но на самом деле речь идет о сложнейшей атаке, эксплуатирующей особенности так называемого спекулятивного выполнения инструкций процессором.
      Подождите, но мы это уже где-то слышали!
      Действительно, по своему принципу новые атаки напоминают различные варианты атак типа Spectre, эксплуатирующих другие, хотя отчасти похожие уязвимости в процессорах Intel и AMD. Мы писали об этих атаках раньше: в 2022 году, через 4 года после обнаружения самой первой уязвимости Spectre, мы пришли к выводу, что реального, простого и действенного метода эксплуатации этих уязвимостей нет. Использовать свежеобнаруженные проблемы в чипах Apple также непросто, но есть важное отличие: исследователи в новой работе сразу предлагают достаточно реалистичные варианты атак и доказывают их возможность. Чтобы разобраться, насколько опасны данные уязвимости, давайте коротко, и не вдаваясь в дебри сложного научного исследования, повторим основные принципы всех подобных атак.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      В сентябре 2024 года группа исследователей из Университета Флориды и Техасского технологического университета представила научную работу с описанием весьма замысловатой методики перехвата текстовой информации, которую вводит пользователь гарнитуры виртуальной/дополненной реальности Apple Vision Pro.
      Изобретенный ими способ атаки на пользователей Vision Pro исследователи назвали GAZEploit. В этом посте мы попробуем разобраться, как работает эта атака, насколько она эффективна, реалистична и опасна для владельцев VR/AR-устройств Apple и как лучше защитить свои пароли и другую конфиденциальную информацию.
      Как устроен ввод информации в Apple visionOS
      Сперва немного поговорим о том, как вообще устроен ввод информации в visionOS — операционной системе, на базе которой работает Apple Vision Pro. Одной из наиболее впечатляющих инноваций гарнитуры смешанной реальности Apple стало чрезвычайно эффективное использование окулографии, то есть отслеживания движения глаз пользователя.
      Направление взгляда служит в качестве основного метода взаимодействия пользователя с интерфейсом visionOS. Точность отслеживания положения глаз пользователя настолько высока, что ее достаточно для работы даже с очень небольшими элементами интерфейса — в том числе с виртуальной клавиатурой.
      Для ввода текста в visionOS используется виртуальная клавиатура и окулография. Источник
       
      View the full article
×
×
  • Создать...