PhrozenSoft Shortcut Scanner

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,814
Реакции
6,593
// Перенесено из темы: Check Browsers' LNK by Alex Dragokas & regist (обсуждение).

В продолжение обзора альтернативных сканеров ярлыков на наличие заражений,
рассмотрим сканер от PhrozenSoftware Shortcut Scanner 1.0, который вышел 11 января 2017 года.

Во-первых, заранее поблагодарим PhrozenSoft за появление ещё большего числа вирусов, распространяемых через ярлыки:
Immediately after the release of our articles, we saw a significant increase in the use and spread of malicious applications that were exploiting Microsoft Windows Shortcuts.
Источник: Phrozen Software™ - Official Website

Как видим 1.0 и отсутствие приставок Alpha/beta указывает, что это релизная версия (мною тестировалась версия 1.0.6220.60021)
Доступна x32 и x64 битная версии. При этом, x32 не запускается на x64 ОС, выдавая предупреждение.

Вот полное описание утилиты с официального сайта компании:
One of them was already known and used by some hackers in their phishing campaigns. The second was recently discovered by our Security Researcher. We wrote two articles about the subject (see here and here) and these were received very positively in the IT-world and were circulated widely on social media networks, especially Twitter.

One of them was already known and used by some hackers in their phishing campaigns. The second was recently discovered by our Security Researcher. We wrote two articles about the subject (see here and here) and these were received very positively in the IT-world and were circulated widely on social media networks, especially Twitter.

Immediately after the release of our articles, we saw a significant increase in the use and spread of malicious applications that were exploiting Microsoft Windows Shortcuts.
Since we suspect that Microsoft will not apply a fix to this weakness in design in the near future, we have decided to create an application ourselves to detect and remove these malicious shortcuts.

Basically, this application works as a regular Antivirus Scanner: it will scan available attached storage Medias (Fixed Hard Drives and Removable Hard Drives) and lists all existing shortcuts.

For each and every shortcut our application will determine whether or not the shortcut is:
  • Broken
  • Suspicious
  • Dangerous
A shortcut is considered 'Broken' if the target application or target folder points to a non-existing location. A broken shortcut is not something we could consider harmful but worth to be removed since the shortcut itself become useless.

A shortcut is considered 'Suspicious' when it contain arguments.

Most shortcut with arguments could be completely legit, but you should consider taking a look and validate whether or not the shortcut is not calling suspicious applications or parameters. Be careful then when removing them after the scan.

Finally a shortcut is considered 'Dangerous' when multiple flags are triggered.
  • If the target application points to a command prompt (Terminal, PowerShell, Ubuntu Bash)
  • If it contains dangerous keywords often used to create malicious shortcuts
  • An argument overflow, which means that the shortcut command line is more than the Microsoft Windows limitation of 260 characters (MAX PATH)
  • Shortcut file size is above 4KiB
  • Contains arguments plus one of above flags
You should seriously consider removing shortcut flagged as dangerous. The more flags are triggered during the scan, the more dangerous the shortcut could be.

This method detected 100% of Malicious Shortcuts we used to test the application. It also was totally effective against recent malware and phishing campaigns.

(!) In a possible future version of this application we might add a pro-active protection to detect shortcuts when they are created and extracted from an archive. If you wish to see this feature added let us know, it will depend our workload and how many users this program will attract.

Some screens
snap1.png
Example of scan report (Hex Editor Opened)
snap2.png

Судя по описанию, утилита должна находить ярлыки:
  • с отсутствующей целью (объектом)
  • подозрительные и опасные по таким критериям:
1. объект ссылается на командный процессор (Terminal, PowerShell, Ubuntu Bash)
2. содержит опасные ключевые фразы, часто используемые во вредоносных ярлыках
3. аргумент превышает 260 символов
4. размер ярлыка свыше 4 КБ.
5. содержит аргумент + один из флагов (что бы это не означало (?))

Что же, судя по пункту 2, это уже заранее гарантирует программе наличие ложных срабатываний (чёрный список).

Итак, после первого запуска и нажатия первой из кнопочек на панели мы видим окно в стиле Metro-интерфейса
с предложением выбрать область для проверки:

upload_2017-1-15_17-6-53.jpeg


Выбрав только один из дисков (C:, диск SSD), сканирование завершилось за около 25 минут. Словом, повторная проверка занимает примерно столько же времени. При этом, антивирус был отключён (система на базе Core i5).
Ни одного объекта найдено не было (хотя на диске содержалось несколько LNK с потерянным объектом).
P.S. Как оказалось позже, программа получает подобный баг после нажатия кнопки "Очистка результатов проверки".

Окей. Я решил вручную натравить папку с карантином. Наконец-то получили результат:

upload_2017-1-15_16-50-11.png


Итак, видим перечень ярлыков. Они делятся на 3 подгруппы: Dangerous / Suspicious / No target (примерный смысл). При чём только в 1-й группе стоят галочки.
А также при нажатии на имя ярлыка появляется незамысловатый HEX-редактор, который, к слову, почти беполезен даже для специалиста, пока на него не наложен спец. шаблон бинарной структуры.

Также видим авто-оценку вредоносности с указанием признаков и степени опасности.

Из неудобства сразу отметим отсутствие колонки с путём к объекту. Чтобы увидеть, приходится клацать отдельно по каждому ярлыку.

Лечение
Собственно, этот пункт мне опробовать на Win10 не удалось, т.к. программа ничего не делает, какие бы кнопки я не нажимал в разделе лечения.
Зато, это удалось сделать на Win7 x32. Программа просто удаляет ярлык, не лечит.
Однако один из ярлыков был попросту заблокирован самой же программой Shortcut Cleaner, так что ни система, ни даже сама программа не могла его удалить :)

Выводы:

Плюсы:
модный и простой интерфейс.

Минусы:
Большое число багов, в т.ч. плохо работающий основной функционал (не всегда удаляются заражённые ярлыки).
Субъективно: бесполезный (пока) Hex-редактор.
Много времени занимает полная проверка диска.
Интерфейс не способствует удобству для ручной оценки вредоносности объекта, особенно если таких объектов очень много в отчёте.
Физически не умеет выполнять разбор некоторых типов бинарных структур распространённых рекламных LNK ярлыков (например, MSITStore).
Громадное число ложных срабатываний. Например, воспринимает как серъёзную угрозу даже просто ярлык для запуска cmd.exe или powershell.exe без каких-либо аргументов; а также все ярлыки, в имени файла цели которых присутствует подозрительная фраза, например программа "Wrye Bash.exe".

По итогам тестирования, большинство багов и отзыв были направлены разработчику.
Пожелаем им удачи в начинаниях, и надеемся что всё у них получится.
 
Последнее редактирование:
Назад
Сверху Снизу