Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Скачать
Обзор F.A.Q. Обновления (46) Отзывы (4) История Обсуждение
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.39
[баг] Был потерян флаг "Цель существует" для части системных ярлыков, которые раскрывались через компенсацию Wow64 (спасибо за помощь Lawrence Abrams).
[баг] Неверно возобновлялась 64-битная файловая переадресация, что потенциально могло приводить к "падению" программы.
[баг] В списке ярлыков со снятым RO не отображались безопасные из числа созданных MS Installer-ом.
[баг] Вхождение имен файлов в диапазон ASCII теперь определяется правильно (влияет на необходимость вывести...
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Check Browsers' LNK не ловит Internet Explorer.LNK с изменённой ссылкой на ресурс с иконкой. В данном LNK ссылка на иконку изменена на ранее удалённый C:\iexplore.bat.exe К сожалению, не могу прикрепить файл для примера. Видимо ещё прав нет. Пример LNK можно взять из этого сообщения:
http://forum.kaspersky.com/index.php?s=&showtopic=323287&view=findpost&p=2409305
Лог Check Browsers' LNK из этого:
http://forum.kaspersky.com/index.php?s=&showtopic=323287&view=findpost&p=2409224
В общем-то весь этот топик посвящён детекту такого LNK.

Прошу добавить такие ссылки в детект.
 
Severnyj, что-то вы путаете. Одно дело, когда изменена ссылка на запуск браузера, другое дело когда изменена иконка ярлыка.
Когда изменена ссылка на запуск объекта, то будут открываться левые сайты и т.д..
Если изменена иконка, то просто не будет привычного значка и никакой проблемы кроме визуального вида нет. Никокой рекламы, запуска левых сайтов и т.д. от этого не будет, только визуально. При этом возможно юзер сам сменил значок.
 
regist написал(а):
Если изменена иконка, то просто не будет привычного значка и никакой проблемы кроме визуального вида нет. Никокой рекламы, запуска левых сайтов и т.д. от этого не будет, только визуально. При этом возможно юзер сам сменил значок.
Нажмите для раскрытия...
К сожалению, прочитать описание зловреда по этой ссылке у меня нет прав, но скажу, что сам видел оригинальные исполняемые файлы браузеров в различных нестандартных местах под именем *.bat.exe. Если есть линк иконки со ссылкой на нормальный браузер с нестандартным именем, то стоит проверить систему на вирусы. Да даже если линк иконки поулярного браузера отличается от линка на иконку, то уже ахтунг! Вероятность, что пользователь сам скопировал iexplore.exe в c:\iexplore.bat.exe мала.
 
Последнее редактирование:
BORODA(C), спасибо за информацию.
В начале месяца мне посчастливилось испытать этого зверька вживую, чтобы увидеть подмену иконок у легитимного по остальным признакам ярлыка.
К сожалению, реализовать детектирование пока не было времени.
По алгоритму уже определились. Это будет нечто более сложное, чем "подстраивание" под конкретного вида зловреда.

По поводу лечения, ClearLNK сегодня уже способен предоставить необходимую дезинфекцию,
поэтому просьба обратить внимание: все ли в процессе лечения проходит удачно.
(например, вылеченные ярлыки наложились друг на друга в уголке рабочего стола :))
Да. Была такая проблема. Но здесь же, в вер. 2.0.0.7 надеюсь, что ее решил.
 
Dragokas, верный ли скрипт для лечения из файла?
Код: 
>>> "C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.LNK"
>>> "C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.LNK"
 
Если в начале строки нет дефиса, любой путь к ярлыку будет опознан программой ClearLNK.
P.S. Это не скрипт. Пометка >>> делается просто ради наглядности.
 
Нужна помощь в тестировании Альфа-версии.

Задачи:
1) Проверить не "падает" ли программа, не выдает ли ошибок (самая важная).
2) Сравнить идентичность отчетов, сделанных Альфой и релизной версией (тоже важно).
3) Сравнить время анализа (не поиска) (не очень важно, и довольно сложно это сделать. Детали под спойлером)
Должны быть выполнены условия:
- после загрузки системы, запускать чекер можно только 1 раз (т.е. чтобы запустить разные версии программ, потребуется минимум 1 перезагрузка ОС).
- антивирус должен быть отключен
- не должно быть других нагрузок на процессор (смотрится через Диспетчер задач).
Как считать?
- Запускаем Альфа-версию. Запоминаем из отчета, например:
Затрачено времени: 20 сек. (поиск: 12 сек.)
Нажмите для раскрытия...
Формула: Анализ = 20 - 12 = 8
- Перезагружаем ОС.
- Запускаем релизную версию.
Повторяем формулу. Говорим разницу.
 

Вложения

  • Check Browsers LNK.zip
    185.3 KB · Просмотры: 6
Последнее редактирование:
Заглохла эта версия что-то на одном ярлыке. Час уже жду пока отвиснет. Сейчас попробую релизную версию запустить.
 
mike 1, спасибо за тесты.
Можешь, пожалуйста, проверить на версии из этого вложения (1.1.0.41 Alpha):
 

Вложения

  • CheckBrowsersLNK.zip
    180.2 KB · Просмотры: 9
Назад
Сверху Снизу