Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Ок.

Тогда такой вопрос: почему явные браузерные ярлыки (запускаемые из Панели задач, меню Пуск) попали в категорию
(((((( Прочие ярлыки ))))))
?
 
Последнее редактирование:
Тогда такой вопрос: почему явные браузерные ярлыки
потому что на самом деле это не так, а всего лишь маскировка под браузерный ярлык (подмена символов на похожие). И похоже вирусописали сумели вас провести ;).
Новая версия чекера распознаёт эту маскировку и автоматом предлагает эти ярлыки на лечение.
PS. хочу обратить внимание, что даже до того как добавили детект этой маскировки, чекер выводил эти заражённые ярлыки в лог.
 
Еще кое-что

http://virusinfo.info/showthread.php?t=173626
Первая группа в логе явно лишняя для исправления по умолчанию. Такие ярлыки устанавливаются за компанию с Amigo. Или они будут просто удалены? Если так, то претензию снимаю :)
 
Первая группа в логе явно лишняя для исправления по умолчанию.
Почему же она лишняя? К ярлыкам дописана не понятная реферальная ссылка. После исправления ярлык останется и будет выполнять своё назначение, а левая ссылка будет удалена ;).
Или они будут просто удалены? Если так, то претензию снимаю
Если вы перед этим удалить Амиго, то они будут удалены, так как цель не найдена.
 
Я к тому, что их править вообще не нужно. Под снос и делов
Если Амиго установлен, то возможно пользователь им пользуется в качестве браузера. В таком случае удалять ярлыки на установленный браузер неправильно. А вот если Амиго удалён, то можно и ярлыки за ним спокойно удалять.
 
Браузер Amigo не относится к категории "Вредоносное ПО", поэтому однозначное внесение его ярлыка в чёрные списки
по причине серой модели распространения является спорным решением.

По желанию пользователя ярлык будет удален, если дать рекомендацию ClearLNK после скрипта AVZ,
который снесет тушку браузера, если стандартными средствами его удалить не представляется возможным.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

1.1.0.27
[функционал] Добавлено отображение маскировки браузерных .URL-файлов.
[функционал] Деобфускация некоторых видов скриптов.
[баг] В версии 1.1.0.26 не работал эвристик для файлов *.URL
[баг] Ошибка в парсере файловых имен (GetFileName), если объект не имел расширения.
[вид] Добавлено выравнивание целей LNK в отчете по интервальной сетке ( /+10 )
[вид] Изменено выравнивание целей URL по фиксированной сетке ( 70/100/+15 )

Узнать больше об этом обновлении...
 
=========================================================================
(((((( Прочие ярлыки ))))))
=========================================================================

_________________ Подозрительные ( низкий риск ) ______________________

-[CMD] "C:\ProgramData\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\ProgramData\ProgramData.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\World at War.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]

А такие ярлыки в автоматическом режиме не предлагаются к удалению.
 
Пока только на глаз.
Уровень популярности зловреда < шанса ложного срабатывания от нового правила.
Если станет более популярным, тогда будем думать / жертвовать скоростью анализа.
Мы все еще придерживаемся безопасной модели поведения чекера.
 
thyrex, принимается. Временно занесу его в базу, как браузер. Потом придумаю что-то по-умнее.
В базах клинера он уже есть.

Пока выпущу промежуточную версию.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.28
[функционал] Добавлен белый список скриптов.
[функционал] Добавлено детектирование майнеров криптовалюты (лечение только по решению аналитика). Префикс [MINER].
[функционал] Бинарный парсер обучен разбору юникодных секций.
[функционал] Добавлено раскрытие псевдонимов и путей особых ярлыков, чей объект задан через строки-идентификаторы Shell Namespace ::{GUID}, например, Яндекс.Диск, DropBox, Mail.ru Cloud. (пока не работает)
[функционал] Регулярка статических имен ярлыков дополнена:...

Узнать больше об этом обновлении...
Из известных багов новой версии - Яндекс.Диск, DropBox, Mail.ru Cloud показывают, что пути к папке нет.
Это неправда. Сам псевдоним раскрывается правильно.

- "C:\Users\Alex\Links\Яндекс.Диск.lnk" -> ["::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{19170A69-A883-40D5-AF97-F6DC41495F15}"] -> Яндекс.Диск -> (нет цели)
 
___________________ Подозрительные ( низкий риск ) ____________________
-[*.URL] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Internet Explorer.lnk" -> ["C:\Documents and Settings\All Users\Application Data\Yandex\YandexBarIE\help.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url" -> -extoff] -> hxxp://sindex.biz/?company=3
С чего вдруг попали в низкий риск?
 
thyrex, спасибо за сигнал.
В одной из версий случайно сламал логику. Исправлю в ближайшее время.
 
В данный момент эвристическая "зачистка" активируется, беря образец только из браузерных ярлыков (предотвращение ложных срабатываний).
Редко бывает, когда есть дописки в "прочих ярлыках", но нет в браузерных.
Хотя за последнее время может, что и поменялась. Давно не следил за статистикой.
Вообщем, прощупаем этот вопрос еще раз...
Спасибо за лог.
 
Назад
Сверху Снизу