Перейти к содержанию

[РЕШЕНО] При попытке установить kaspersky total secutiy установщик выдаёт неизвестную ошибку


Рекомендуемые сообщения

Недавно заметил высокие температуры на ЦП и ГП, решил установить kaspersky total security, но при установке выдаёт неизвестную ошибку. Dr web cureit, KVRT ничего не нашли, в том числе в безопасном режиме. Пробовал KAV remover, тоже не помогло.

Снимок экрана (45).png

CollectionLog-2021.12.06-15.25.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте

10 минут назад, SQ сказал:

му двойным щелчком. Когда программа запустится, нажмите Yes для соглашения

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

AV_block_remove_2021.12.06-07.21.log ранее я сталкивался с похожей проблемой и avbr решил проблему

 

1 час назад, Д0нил сказал:

AV_block_remove_2021.12.06-07.21.log ранее я сталкивался с похожей проблемой и avbr решил проблему

 

2 часа назад, thyrex сказал:

По логам видно, что занимались самолечением и использовали AV block remover. Отчет этой утилиты пришлите

 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-12-05 22:02 - 2021-12-06 15:33 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2021-12-05 22:10 - 2021-05-19 18:27 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2021-12-05 22:10 - 2021-05-19 18:27 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab
FirewallRules: [TCP Query User{549CD66F-3CE9-4C3C-8F15-72C93E23012F}C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [UDP Query User{1C43215E-2EE8-4943-A23A-F4BB3A78E123}C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [TCP Query User{9FF5FDFC-6E98-4D8D-BDB6-017941E86326}C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [UDP Query User{0DA976B1-BE4F-4DA8-8DDF-D28C1A1CE049}C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [TCP Query User{99C96F17-B0FB-4B34-94DC-94721A70BD49}C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe => Нет файла
FirewallRules: [UDP Query User{8B375EC4-EE97-4B98-B46D-5D3D41684859}C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe => Нет файла
FirewallRules: [TCP Query User{8FD7338D-B5F3-4E50-9BD8-28E6CF9EB593}C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [UDP Query User{44269201-C837-47ED-A4A3-26256B6AF7DB}C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [TCP Query User{D853F9AD-F850-4370-B907-C72A4604993A}C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [UDP Query User{CAD94D07-BBE3-414E-9BAE-6DF7409DB6DA}C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{C5199D0E-876C-434E-BF7F-7E4B19C6C7A2}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [UDP Query User{608B7727-3E34-4C99-A5D0-3149C4812F70}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [TCP Query User{D2197BCA-B19F-4127-8C71-905027502C98}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [UDP Query User{016A4596-7962-46B7-B9B7-31C7CC5CB904}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [TCP Query User{3A7A5B4C-F31B-4180-8EFC-3D27E7EEB26B}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [UDP Query User{0F4AA73D-79B6-48DE-BD33-E3B0377A5A50}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [TCP Query User{EB0D60C6-2B34-42AA-8266-D5C2A50A4DB9}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [UDP Query User{76E645E1-9CA4-43BE-9DC7-7D23EFCD8522}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [TCP Query User{99E77C50-175B-4D10-AC0C-CDA11B4B9B6F}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{C8420D5A-75D4-4840-BF5D-BB7D6F5D18DD}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{70AC5DE3-376A-4F3E-ACCE-5A5D2A0F8BAB}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{D731EFDC-B305-45A8-90C6-435972BF24BB}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{46D0D081-04C6-4A85-B214-6D11FC442989}C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [UDP Query User{A7B9CDFE-08E9-477E-9A7B-E5E49FE72A37}C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [{B2CD4E1E-937D-4C77-B69F-9F2921308FE5}] => (Allow) C:\Users\1\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{77DECD8C-2834-431C-AB97-710E28DCC120}] => (Allow) C:\Users\1\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
16 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)




Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-12-05 22:02 - 2021-12-06 15:33 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2021-12-05 22:10 - 2021-05-19 18:27 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2021-12-05 22:10 - 2021-05-19 18:27 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab
FirewallRules: [TCP Query User{549CD66F-3CE9-4C3C-8F15-72C93E23012F}C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [UDP Query User{1C43215E-2EE8-4943-A23A-F4BB3A78E123}C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [TCP Query User{9FF5FDFC-6E98-4D8D-BDB6-017941E86326}C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [UDP Query User{0DA976B1-BE4F-4DA8-8DDF-D28C1A1CE049}C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [TCP Query User{99C96F17-B0FB-4B34-94DC-94721A70BD49}C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe => Нет файла
FirewallRules: [UDP Query User{8B375EC4-EE97-4B98-B46D-5D3D41684859}C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.172\opera.exe => Нет файла
FirewallRules: [TCP Query User{8FD7338D-B5F3-4E50-9BD8-28E6CF9EB593}C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [UDP Query User{44269201-C837-47ED-A4A3-26256B6AF7DB}C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [TCP Query User{D853F9AD-F850-4370-B907-C72A4604993A}C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [UDP Query User{CAD94D07-BBE3-414E-9BAE-6DF7409DB6DA}C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{C5199D0E-876C-434E-BF7F-7E4B19C6C7A2}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [UDP Query User{608B7727-3E34-4C99-A5D0-3149C4812F70}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Allow) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [TCP Query User{D2197BCA-B19F-4127-8C71-905027502C98}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [UDP Query User{016A4596-7962-46B7-B9B7-31C7CC5CB904}C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [TCP Query User{3A7A5B4C-F31B-4180-8EFC-3D27E7EEB26B}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [UDP Query User{0F4AA73D-79B6-48DE-BD33-E3B0377A5A50}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [TCP Query User{EB0D60C6-2B34-42AA-8266-D5C2A50A4DB9}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [UDP Query User{76E645E1-9CA4-43BE-9DC7-7D23EFCD8522}C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [TCP Query User{99E77C50-175B-4D10-AC0C-CDA11B4B9B6F}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{C8420D5A-75D4-4840-BF5D-BB7D6F5D18DD}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{70AC5DE3-376A-4F3E-ACCE-5A5D2A0F8BAB}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{D731EFDC-B305-45A8-90C6-435972BF24BB}C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{46D0D081-04C6-4A85-B214-6D11FC442989}C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [UDP Query User{A7B9CDFE-08E9-477E-9A7B-E5E49FE72A37}C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\1\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [{B2CD4E1E-937D-4C77-B69F-9F2921308FE5}] => (Allow) C:\Users\1\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{77DECD8C-2834-431C-AB97-710E28DCC120}] => (Allow) C:\Users\1\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Вот

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 


 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.8.3 (1581) Внимание! Скачать обновления
Telegram Desktop, версия 2.7.4 v.2.7.4 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.2.2 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^

выполните рекомендованное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Логика подсказывает, что самый надежный способ предотвратить киберинцидент — не допустить проникновения зловредов в инфраструктуру компании. Поэтому при разработке ИБ-стратегии специалисты часто фокусируются на защите от самых очевидных векторов атаки, вкладываясь в первую очередь в безопасность почты. Большинство атак действительно начинаются с письма от злоумышленников, однако не стоит забывать, что в арсенале киберпреступников есть множество других методов доставки вредоносного ПО. Эксперты из команды Kaspersky Global Research and Analysis Team рассказали об альтернативных методах заражения и распространения зловредов, причем эти способы встретились им при анализе достаточно свежих угроз.
      Тайпсквоттинг для подмены инструмента
      Создатели зловреда, получившего название AdvancedIPSpyware, решили внедрить свой код в инструмент для системных администраторов Advanced IP Scanner. Они создали два сайта, названия доменов которых отличались от легитимного на одну букву, а дизайн скопировали с официальной страницы ПО. То есть действовали они в расчете на то, что жертва при поиске инструмента для контроля локальных сетей не поймет, какой сайт настоящий, и скопирует программу с закладкой. Интересно, что вредоносный вариант Advanced IP Scanner был подписан легальным цифровым сертификатом, который, по всей видимости, был украден.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Скачивание пиратского ПО — это всегда лотерея: кому-то везет, а кому-то нет, и в итоге некоторым неосторожным пользователям за «пиратку» приходится заплатить даже больше, чем за лицензию. Мы уже не раз рассказывали о различных зловредах, прикидывающихся пиратскими играми, а также передающихся через торренты. Недавно наши исследователи опубликовали свежее исследование трояна-дроппера NullMixer — еще одной распространенной угрозы, с которой могут столкнуться пользователи при попытке скачать нелицензионное ПО.
      Что такое трояны-дропперы и как они работают — на примере NullMixer
      Говоря простыми словами, трояны-дропперы — это инструменты распространения вредоносного программного обеспечения. Их основная задача — незаметно для пользователя установить на его устройство других зловредов (не обязательно одного). Разберемся, как они это делают, на примере NullMixer.
      Этот дроппер распространяется через сайты, обещающие пользователям возможность загрузить пиратское ПО и кряки (так называют приложения для взлома защиты легальных программ). Разработчики зловреда достаточно умело используют инструменты оптимизации поиска. По запросам типа cracked software (взломанное ПО) или keygens (сленговое название генераторов лицензионных ключей) их вредоносные сайты часто оказываются на первых строках поиска.
      При попытке зайти и скачать «пиратку» с такого сайта пользователя несколько раз перенаправят на новые страницы. В итоге он окажется на странице с загрузкой запароленного архива и инструкцией, как этот архив скачать и распаковать.
      Архив и инструкция по скачиванию поддельного пиратского ПО
      Хорошая новость в том, что тут не используется никаких хитрых механизмов незаметного заражения после одного лишь посещения страницы. Все шаги — от нажатия на ссылку для скачивания зловреда до его запуска — пользователю нужно выполнить самостоятельно. Если жертва заметит что-то подозрительное и остановится, с компьютером ничего не произойдет. Очевидно, распространители Nullmixer рассчитывают на ложное чувство безопасности: многие думают, что на первой строчке поиска плохого не покажут, и беззаботно прокликивают весь описанный путь до конца, в итоге устанавливая себе трояна.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В сентябре 2022 года компания Trellix опубликовала отчет об уязвимости в модуле tarfile. Это стандартная библиотека языка программирования Python, воспользоваться которой может любой желающий. Уязвимость позволяет записать в произвольную папку на жестком диске произвольный файл, а в некоторых случаях может приводить к выполнению вредоносного кода. Особенность данного исследования заключается в том, что проблема в Tarfile была обнаружена в августе 2007 года, почти ровно 15 лет назад! Но тогда ее не посчитали опасной. Давайте разберемся, почему так вышло и с какими проблемами в результате могут столкнуться разработчики софта на Python и пользователи этих программ.
      Tarfile в деталях
      Tarfile содержит код для работы с архивами формата tar. Этот формат широко используется в Unix-подобных операционных системах, а его история началась очень давно — в 1979 году. Tar — это простой способ упаковать большое количество файлов и папок. Изначально данная функциональность требовалась для удобной записи резервных копий на магнитную ленту. Теперь же в архивах tar может применяться и сжатие файлов, хотя это не обязательно. Модуль tarfile отвечает за создание и распаковку таких архивов, он используется разработчиками программ на языке Python как готовый инструмент для подобных задач.
      Уязвимость в tarfile достаточно простая, она исчерпывающе описана в оригинальном багрепорте за август 2007 года. Это даже не совсем уязвимость: просто tarfile в точности воссоздает структуру папок, содержащуюся в архиве, при его распаковке. В том числе если имя файла в архиве представляет собой что-то вроде «../../../../../etc/passwd». Если распаковать такой архив от имени администратора системы, файл passwd запишется вовсе не в директорию, в которой расположен сам архив. Отрабатывая указатели «..», распаковщик сначала дойдет до корневой директории, а потом перезапишет файл passwd в директории etc. В Linux это будет означать стирание штатного файла с данными всех пользователей системы.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Помните знаменитую поговорку капитана Врунгеля? «Как вы яхту назовёте, так она и поплывёт». Даже сейчас, проходя мимо какого-нибудь яхт-клуба, можно изрядно повеселиться, читая имена некоторых плавсредств.
      И всё же с именем для яхты определиться легче, чем с названием продукта в сфере ИБ. Ведь яхта – объект с очевидным функционалом. Даже дети знают, что делает яхта. А сколько всего делает современная система кибер-защиты и чем одна отличается от другой? Тут даже целым абзацем не объяснишь, а уж одним названием – тем более.
      Наверное, именно поэтому наша компания до сих пор ассоциируется у многих с антивирусом. На самом деле, ловля зловредов на основе антивирусных баз – лишь одна из наших технологий безопасности, за 25 лет мы придумали много других. Просто слово «антивирус» даёт очень понятную метафору, оттого и держится в памяти народной.
      Но что делать, если хочется рассказать про сложную многофункциональную защиту для корпоративных IT-инфраструктур? Здесь мы неизбежно попадаем в мир странных слов из трёх букв (иногда из четырёх). Аббревиатуры с каждым годом множатся, удержать в голове все расшифровки становится всё сложней. Давайте же устроим небольшую экскурсию по этим магическим ИБ-заклинаниям.
      От EPP до XDR
      Начнём с той яхты, которую многие до сих пор зовут «антивирусом». Более точное название этого класса продуктов – «защита рабочих станций» или «безопасность конечных точек» (Endpoint Protection, Endpoint Security). Ведь как сказано выше, не один только антивирус стоит на защите рабочей станции. Иногда это разнообразие технологий даже называют «платформой»: так и звучит солиднее, и модное слово из трёх букв получается – EPP (Endpoint Protection Platform).
      Однако это пока история про безопасность отдельных машин. По сути, концепция из 90-х. Для защиты распределённой инфраструктуры понадобятся дополнительные методы. Надо собирать данные со всей сети и анализировать их так, чтобы выявлять не только отдельные инциденты, но и целые цепочки атак, которые не ограничиваются одной рабочей станцией. Да и реагировать на угрозы нужно тоже на уровне всей сети, а не только на одном компьютере.
      В начале 2000-х появляется класс продуктов SIEM. Буквально – система управления информацией и событиями безопасности. То есть инструмент для сбора и анализа всей ИБ-телеметрии от различных устройств и приложений. И не только за сегодняшний день: хорошая SIEM позволяет делать ретроспективный анализ, сопоставляя события из прошлого и выявляя атаки, которые растянуты во времени на многие месяцы или даже годы.
      Итак, мы уже работаем с целой сетью. Вот только в аббревиатуре SIEM нет «защиты». Защиту делают продукты EPP, но они не видят сетевые явления – например, легко могут пропустить затяжную многоступенчатую атаку (APT).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы наблюдаем новую кампанию по массовой рассылке вредоносных писем по сотрудникам компаний с приложенным шпионским зловредом Agent Tesla. От множества аналогов эту рассылку отличает неожиданный уровень внимания злоумышленников к деталям — на этот раз послание злоумышленников действительно можно принять за реальное деловое письмо с приложенными документами. Цель — заставить получателя открыть приложение и запустить вредоносный файл.
      Особенности вредоносной почтовой рассылки
      Начнем с того, что злоумышленники как прикрытия используют реально существующие компании, снабжая свои письма реальными логотипами и легитимно выглядящими подписями. Английский язык в письмах не идеален, но, чтобы этот факт не смущал получателя, в качестве фирмы-отправителя обычно выбирают резидентов каких-то не англоговорящих стран — то Болгарии, то Малайзии.
      Злоумышленники рассылают свой архив от имени множества компаний, меняя при этом и текст. То они запрашивают у сотрудников различных организаций цены на товары, перечисленные в приложенном архиве, то пытаются узнать, есть ли перечисленный товар в наличии, но, скорее всего, мы не видели все варианты «наживок». Главное — убедить жертву посмотреть, что за товары интересуют этого псевдоклиента. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний — в прошлом подобные приемы чаще встречались в целевых атаках.
      Пример письма злоумышленников с запросом цен и архивом с Agent Tesla
       
      View the full article
×
×
  • Создать...