Я снова поставил себе на комп AnVir Task Manager, чтобы проверить есть ли в этой проге вирус или нет. Но вот что еще интересное я обнаружил, короче когда я ставил AnVir Task Manager, то вместе с ним поставился и Яндекс Браузер и какая-то его кнопка Яндекса на панели задач. В общем Яндекс-софт все таки пробрался ко мне в комп. Не могу назвать что это косяк проги, но честно говоря меня этот софт от Яндекса уже напряг.
Итак, сегодня мы узнаем, вирус AnVir Task Manager или нет. Я ее установил как обычно без приколов. Проверю я комп несколькими утилитами, которые, как мне кажется лучшие в своем роде.
Что еще интересно, после установки Яндекс-софта, мне прога AnVir Task Manager сама сказала, что какая-то прога лезет в автозагрузку, вот это окно:
Вот видите, то есть AnVir Task Manager еще немного смахивает на фаервол, даже скажу больше, есть признаки проактивной защиты
Операция не была успешно завершена, так как файл содержит вирус
Ну что же, программа установлена. Начинаем проверку. Сперва я проверю комп утилитой AdwCleaner, она уже не один раз мне помогала, очень нравится эта утилита
В общем загрузил я утилиту, начинаю проверять… Скажу сразу, что у меня левых прог всяких много и поэтому будет найдено много чего левого… Это просто комп, на котором я тестируют всякие программы, поэтому тут много чего есть..
Скачал я AdwCleaner, оказывается что вышла уже шестая версия, у них немного дизайн еще изменился, как по мне то старая версия была лучше. Итак, запустил я сканирование и вот результаты, это вкладка Папки:
Тут все не вмещается, то поверьте мне, что программы AnVir Task Manager там нет. Вот вторая вкладка, это Файлы и тут тоже нет данной программы:
В общем на остальных вкладках в AdwCleaner также не было ни слова про AnVir Task Manager, то есть уже вроде кажется, что в этой программе вируса нет.
В общем я все таки очистил комп при помощи AdwCleaner от всего мусора. Знаете, AdwCleaner комп чистила где-то минуты две, видимо прилично я его загрязнил…
В общем почистил я комп, программа AnVir Task Manager осталась на месте, что только говорит о том что вряд ли это вирус. Но, тем не менее, я для интереса проверю еще одной утилитой, это HitmanPro. Это также мощная утилита, она просто немного по-другому работает, у нее там есть какие-то фирменные технологии, но утилита такая же крутая как и AdwCleaner!
В общем загрузил я HitmanPro, и начал проверять. Ищет утилита прилично, ибо жесткий диск ух как шуршал, копалась наверно в каждом уголке винды. Вот что интересно, что вот сейчас идет сканирование и я уже вижу, что утилита HitmanPro нашла немного опасных обьектов в винде. И это учитывая то, что я уже проверял комп утилитой AdwClwaner. Тут конечно многие опасные обьекты это куки, но тем не менее, как я и думал так оно и есть: AdwCleaner и HitmanPro это лучшие утилиты, что не находит одна, то найдет другая!
Как найти и удалить скрытый вирус майнер на вашем компьютере с Windows 10, 8 или 7 в 2019 🐛
Вот что нашла утилита HitmanPro:
В общем тут тоже ничего не было сказано про то, что AnVir Task Manager это вирус. После чистки компа я запустил снова AnVir Task Manager и только убедился, что она работает как и обычно, а значит что это все таки не вирус..
Ну и на всякий случай, так бы сказать последний удар, я взял и проверил комп уже универсальной утилитой, так бы сказать мастером по нахождению любых вирусов, это Dr.Web CureIt!. Просто AdwCleaner и HitmanPro это утилиты по нахождению рекламных вирусов, такие вирусы не видят обычные антивирусы, ибо они не крадут пароли, ничего не ломают. Но эти рекламные вирусы вставляют рекламу то в браузер, то на рабочий стол, а то все вместе. А вот утилита Dr.Web CureIt! это уже мастер, ловит шпионское и рекламное ПО, всякие там вирусы, черви, трояны, в общем мастер и все тут!
Скачал я короче Dr.Web CureIt!, он уже шел с сигнатурными базами и начал проверять. Проверят утилита, проверяет и вот через некоторое время я вижу, что что-то там уже нашлось, что связанное с AnVir Task Manager! Вот, смотрите сами:
Ну я думаю, что комментарии излишни. Dr.Web CureIt! говорит, что есть что-то вирусное в AnVir Task Manager, правда что именно не указывает. Ну то есть не пишет что это вирус или троян, пишет что это какое-то Program.Unwanted.1331, что это такое я не знаю, может просто типа потенциально опасное ПО. А может так оно распознается потому, что в программе AnVir Task Manager есть функции для извлечения инфы всякой. И из-за этих функций данная программа распознается Dr.Web CureIt! как опасная.
Смотрите, там еще есть и что-то от IObit, это тоже прога для оптимизации компа, когда-то стояла эта прога но я ее удалил, но видимо что-то от нее все таки осталось.. Короче как воспринимать такую реакцию Dr.Web CureIt! на программу AnVir Task Manager, это уже решать вам. Ибо я не могу уверенно сделать вывод что там есть вирус. Возможно там есть не вирус, а некоторые функции, которые похожи на вирусные, поэтому данная прога и определяется как… ну не знаю как что, но как сами видели, Dr.Web CureIt! ее находит как какую-то Program.Unwanted.1331, что это такое я ума не приложу..
В общем вот такие дела ребята. Потом, после проверки я нажал кнопку Обезвредить, потом потребовалась перезагрузку.. И после этого уже проги AnVir Task Manager у меня на компе не было, вот какая была ошибка, когда я попробовал запустить ярлык с рабочего стола:
Вот такой вот исход печальный у нас сегодня..
Даже не знаю что сказать, я до последнего думал, что AnVir Task Manager это все таки НЕ вирус, но и в итоге я все равно НЕ уверен что это таки вирус. Что думать не знаю, доверие конечно после этого пропадает к этой проге…
Удачи вам и хорошего настроения, надеюсь что данная инфа была полезной
Источник: virtmachine.ru
Dr Web Cureit находит огромное количество вирусов
Последние несколько лет компании активно развивают тему мониторинга событий в своих инфраструктурах для выявления компрометации и компьютерных атак. Цена коммерческих платформ такого рода порой весьма высока, поэтому заслуживают рассмотрения системы с открытым исходным кодом.
ВведениеОсновные возможности WazuhВзаимодействие компонентов WazuhУстановка WazuhРабота с событиями в WazuhВыводыВведениеИметь системы класса SIEM для специалистов по информационной безопасности уже стало необходимостью, поскольку они позволяют собирать события в одном месте и выполнять их анализ — не вручную, конечно, а при помощи написанных правил корреляции. Правила применяются ко всему потоку событий и при срабатывании дают специалистам инцидент, который уже можно расследовать.
В качестве источников к SIEM-системам могут быть подключены средства защиты информации, сетевое оборудование, серверы и рабочие станции на любых операционных системах — в общем, все сущности, которые способны отправлять события в подходящем для SIEM формате.Существует несколько проблем, которые необходимо будет решить компании, если она решила вести мониторинг в интересах информационной безопасности. Во-первых, продукты этого класса очень дорогостоящи.
Далеко не во всех компаниях выделяется достаточный бюджет на информационную безопасность, да ещё и на постоянной основе. Во-вторых, на рынке труда очень мало специалистов, умеющих обслуживать SIEM, писать для него правила корреляции и обнаруживать компьютерные атаки на инфраструктуру.Более доступный способ — воспользоваться услугами коммерческого центра мониторинга (SOC).
Коммерческие SOC занимаются обнаружением и предотвращением компьютерных атак, а также реагированием на инциденты и их расследованием. Если у вас ещё нет SIEM из-за скромного бюджета, есть интересное решение этой проблемы — платформа Wazuh с открытым исходным кодом.Основные возможности WazuhПроект появился в 2015 году, сейчас его постоянно поддерживают около 200 человек, живущих по всему миру.
Wazuh используется в более чем ста тысячах организаций и имеет десятки миллионов скачиваний ежегодно.Главные функциональные возможности Wazuh связаны с мониторингом событий, написанием правил корреляции и созданием панелей мониторинга (дашбордов) для анализа. Много правил уже есть в готовом виде, но с ними нужно будет поработать, потому что иначе вам будет обеспечено большое количество ложноположительных срабатываний.
Правила пишутся вполне просто, есть механизм их тестирования перед сохранением.После установки агента вы получаете полноценный аудит конечной точки: сведения о системе, об установленных программах, о процессах и сетевых настройках. Это весьма полезно для команд автоматизации (DevOps) и администраторов.
Отображаются уязвимости хостов и оценка безопасности их конфигураций с рекомендациями. Есть возможность посмотреть соответствие хостов нормативным требованиям PCI DSS, GDPR и др. Можно реализовать контроль целостности, указав, изменение каких файлов или веток реестра нужно отслеживать (и оповещать вас, если с ними что-то произошло).
В модуле MITRE ATTCK Агенты можно настроить не только для отправки событий и аудита, но и для работы в режиме EDR.
В частности, могут быть реализованы функциональные возможности по блокировке вредоносных IP-адресов, выявлению атак методом перебора (брутфорс), обнаружению подозрительных исполняемых файлов, вредоносных программ (с помощью YARA-правил или интеграции с VirusTotal), атак с использованием SQL-инъекций. Доступен также мониторинг выполнения потенциально вредоносных команд.
Взаимодействие компонентов WazuhПринцип работы системы заключается в установке агентов на конечные точки и управлении ими из серверной части. Агенты выполняют сбор событий и их отправку, отправлять можно любые журналы по работе системы или приложений.
Сервер Wazuh может получать события от источников и без агента — по протоколам Syslog, SSH или с использованием прикладного программного интерфейса (API). Это позволяет подключать разнообразные источники событий, например Kaspersky Security Center, OpenVPN, Suricata и др.
Сервер Wazuh разбирает журналы с помощью декодеров, большое их количество предустановлены; если для нужного вам журнала или источника нет декодера, его можно написать самостоятельно. С правилами корреляции всё обстоит так же: есть много готовых правил от сообщества, но в конкретной инфраструктуре придётся их дорабатывать и писать собственные.
Для высоконагруженных систем есть возможность создать кластер, состоящий из ведущей и ведомых нод («Master» и «Worker»). После сбора, декодирования и анализа событий сервер Wazuh передаёт их в индексатор; там данные записываются в индексы, с которыми взаимодействует оператор. Индексатор Wazuh представляет собой полнотекстовое аналитическое ядро на базе OpenSearch.
Раньше использовался стек ELK, но после того как в январе 2021 года Elastic NV изменила политику лицензирования, сообщество перешло на OpenSearch. Рисунок 2. Архитектура Wazuh За представление данных в веб-интерфейсе отвечает компонент «Wazuh dashboard», аналог Kibana в ЕLK.
Там находятся средства мониторинга агентов, вкладки по срабатываниям правил корреляции, соответствию нормативным требованиям, найденным уязвимостям и др. Интерфейс интуитивно понятен.
Рисунок 3. Веб-интерфейс «Wazuh dashboard» Резюмируем: устройства с агентами или без них отправляют события на сервер Wazuh, он их декодирует, анализирует и передаёт в компонент «Wazuh indexer», где события индексируются, после чего появляется возможность выполнять полнотекстовый поиск средствами OpenSearch. «Wazuh dashboard» нужен для визуализации и удобства использования всей системы. Установка WazuhУстановка центральных компонентов, описанных в предыдущем разделе (сервер, индексатор и дашборд), может быть выполнена как на одном сервере, так и на нескольких отдельных (для высоконагруженных систем).
Установить агенты Wazuh на конечные точки можно централизованно с использованием Ansible, Puppet, групповых политик Microsoft Active Directory. Рисунок 4. Минимальные системные требования для центральных компонентов Рассчитать объём памяти (в ГБ) для хранения логов можно по приведённым далее таблицам. Он зависит от типа конечной точки и количества оповещений в секунду (APS).
Период хранения событий принят за 90 дней. Рисунок 5. Объём памяти для журналов (индексатор) Рисунок 6. Объём памяти для журналов (сервер) Система может быть развёрнута в виде виртуальных машин (OVA, AMI), контейнеров Docker и Kubernetes и в облачном варианте (есть 14-дневный бесплатный период).Работа с событиями в WazuhМониторинг событий осуществляется в веб-интерфейсе компонента «Wazuh dashboard», модуль «Security events».
Рисунок 7. Модуль «Security events» Здесь можно посмотреть события за выбранный интервал времени, приведено несколько графиков для аналитика, есть возможность добавить свои. Правила корреляции в Wazuh классифицируют события по уровням критической значимости от 0 до 16, для событий с уровнем 12 и выше есть отдельная кнопка с фильтром.
При написании правил корреляции особо важным правилам тоже можно присваивать такие уровни для удобного отображения наиболее значимых.Кнопка «Events» открывает полнотекстовый поиск. События здесь представлены в более развёрнутом виде.
Допустим, сработало правило корреляции по добавлению учётной записи в группу доменных администраторов; в поле поиска можно ввести логин этой учётной записи и посмотреть все связанные с нею события. Фильтровать можно по строкам и при помощи запросов с использованием Query DSL.
Рисунок 8. Полнотекстовый поиск ВыводыПосле установки и длительной работы с OSSEC Wazuh осталось много положительных впечатлений. Компоненты системы изначально вполне легко устанавливаются и настраиваются, существует множество вариантов развёртывания в зависимости от ваших потребностей.
Агенты никак не нарушают работу конечных точек, то есть можно централизованно устанавливать их на большое количество устройств, не боясь, что всё сломается. Вполне просто построен и процесс написания собственных правил корреляции.В то же время нужно понимать, что использование продуктов с открытым кодом в своей инфраструктуре — занятие не для малодушных: очень многое придётся искать самостоятельно, плюс практически полностью отсутствуют русскоязычные статьи и сообщество.
Всё больше компаний используют Wazuh в России, но специалисты не слишком активно группируются для обсуждений — автору, например, известно об одном телеграм-чате менее чем на 100 человек. Также компании должны быть готовы к тому, что разбирающихся в подобных системах людей очень мало на рынке, поэтому могут быть проблемы при уходе знающих сотрудников и поиске людей на замену им.Мы знаем, что новые уязвимости и методы компрометации появляются ежедневно и вендоры коммерческих СЗИ вполне быстро выпускают детектирующие правила. При использовании Wazuh этого, конечно, не будет, команде мониторинга придётся самостоятельно следить за новыми угрозами и писать детектирующие правила. При этом в OSSEC Wazuh очень много функциональных возможностей — мало в каких вендорских продуктах есть столько всего в одном, скорее всего, придётся приобретать несколько. При правильной настройке, хорошей команде инженеров и выстроенном процессе работы эта система может сэкономить вашей компании очень солидный бюджет.Достоинства:Лёгкость установки.Много различных вариантов развёртывания.Агенты не нарушают работоспособность серверов и рабочих мест.Простота написаний правил корреляции.Большое количество функциональных возможностей.Экономия средств при грамотном подходе.Недостатки:Работа с продуктом с открытым исходным кодом.Отсутствие русскоязычных материалов.Отсутствие поддержки.Сложности с поиском людей для администрирования.Отсутствие быстрых обновлений правил детектирования угроз, нужно всё писать самим.Читать далее
От PR55.RP55 · Опубликовано Июнь 21
DEVICEHARDDISKVOLUME1EFIMICROSOFTBOOT —— Там не так много файлов. Можно в качестве превентивной меры добавлять в список все файлы раздела. даже если по какой то причине uVS не увидит как запускается файл — файл всё равно будет в списке. А если Оператор захочет понять что и как — то. твик 39 и т.д.
От Аркалык · Опубликовано Июнь 21
От Аркалык · Опубликовано Июнь 21
Первый эксперимент: Программа C:Program_1.exe запускает файл inject_x64.exe с EFI-раздела. Файл успешно инжектится в процесс winlogon.exe, но в логах нету следов о файле inject_x64.exe с EFI-раздела. Есть только запись о том: (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:WINDOWSSYSTEM32WINLOGON.EXE [596], tid=5300 Образ автозапуска uVS прикрепил. PS: Не обращайте внимание на файлы с рабочего стола. Эти файлы для предварительной подготовки, они оттуда автоматический не запускаются. DESKTOP-PVCT6QA_2023-06-21_09-10-40_v4.14.1.rar
От PR55.RP55 · Опубликовано Июнь 17
в Windows 11 Отображать сжатые или зашифрованные файлы NTFS другим цветом Раздел реестра: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Найдите параметр ShowEncryptCompressedColor. Если он не существует, кликните правой кнопкой мыши по разделу Advanced и выберите Создать > Параметр DWORD (32-бита), назовите его ShowEncryptCompressedColor. Установите для параметра значение 1, чтобы показывать выделять сжатые или зашифрованные файлы NTFS другим цветом или 0, чтобы отключить эту опцию. ——- Если система Windows — определяет сжатые или зашифрованные файлы NTFS — хорошо бы чтобы эти данные шли в Инфо. uVS.
Источник: www.anti-malware.ru
Что такое программа unwanted
PUP (англ. аббр. Potentially Unwanted Program – потенциально нежелательная программа) — программа, которая может содержать модули, негативно влияющие на работу системы и/или других программ. Также для обозначения такого рода софта иногда употребляется термин «grayware». Обычно к потенциально нежелательному ПО относятся программы, которые не приносят какого-либо ущерба для компьютера или пользователя, но могут раздражать своими назойливыми действиями. К этому классу угроз обычно относят:
- некоторые программы-шпионы, которые не крадут пароли или другие ценные данные, но могут собирать информацию о личности пользователя;
- рекламные модули (adware), которые проявляют себя в назойливых всплывающих окнах;
- программы-шутки, которые не причиняют реального вреда компьютеру, но могут мешать работе или пугать пользователя, якобы совершаемыми действиями и их результатами;
- программы для удаленного администрирования, которые могут быть использованы для подключения третьих лиц к компьютеру пользователя;
- руткиты, которые могут скрывать деятельность более серьезных вирусов.
Подобного рода программы необязательно удалять (хотя большинство антивирусов настойчиво рекомендуют :)), однако следует помнить, что от них может исходить опасность. Поэтому, если решили поставить себе, например, программу для удаленного администрирования, то обязательно позаботьтесь о сохранности и надежности пароля для подключения к Вашему компьютеру!
Источник: www.bestfree.ru