Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.34

1.1.0.22 - 1.1.0.26 Beta
[функционал] Полная поддержка юникодных имен файлов и целей ярлыков LNK и URL (заменены интерфейсы системных парсеров) (Спасибо The trick за ревизию кода).
[функционал] Добавлено детектирование маскировки имен браузерных ярлыков. Будут помечены префиксом [MASK]. (Спасибо FraidZZ за перезагрузку мозгов :).
Формат лога для юникодных ярлыков изменен:
"Имя в формате 8.3.LNK" ("Имя в юникоде.LNK") -> "Цель в формате 8.3.ext" ("Цель в юникоде.ext")
Для обратной совместимости с программами, не поддерживающими юникод, формат коротких имен "8.3" также выводится.
[функционал] Эвристик стал более агрессивным.
[функционал] Пересмотрены правила распределения уровней опасности угроз и необходимости в лечении.
[функционал] Если пользователь по ошибке перетянул лог на программу-чекер, будет вызван диалог с просьбой скачать ClearLNK. Ссылка откроется в браузере по-умолчанию.
[функционал] Информация о языке системы и интерфейса (UI) выводится в отчет.
[интерфейс] Добавлен "прогрессбар", перетаскивание и сворачивание окна.
[интерфейс] Предупреждение при попытке запустить 2-ю копию программы.
[анализ] Если цель браузерного ярлыка не существует, но ярлык опознан, как опасный, он отмечается "для лечения".
[баг] Часть ярлыков с дописками вида "копия (2)..." не опознавались как браузерные.
[баг] В некоторых случаях не распечатывалось содержимое скриптов.
[баг] Иногда http не подменялась на hxxp.
[баг] Заменена функция рассчета MD5 хеша, вызывавшая "падение" программы в некоторых случаях.
[баг] Не работала часть "мягких" алгоритмов определения модифицированных ярлыков, если путь цели указывал не на папку в профиля пользователя.
[баг] С ярлыков [RO] ранее снимались все атрибуты, а не только Read Only.
[баг] Файловый редиректор проверял необходимость переадресации по пути %SystemRoot%, а не %SystemRoot%\System32
[совместимость] Запись лога теперь происходит сразу - в 2 этапа: шапка + вся остальная часть (это частично защитит от перехватов функции записи, т.к. перехватывать теперь особо нечего :).
[скорость] Отключены резервные функции для определения существования файла.
[базы] Добавлены CyberFox, QQBrowser. Добавлен Интернет браузер Phoenix (черный список). Пополнены списки безопасных URL.
Errors.log более не создается, если не происходило ошибок.
Множество мелких правок и оптимизаций в главном движке анализатора.
Описание ресурса дополнено FAQ и расшифровками префиксов отчета.
1.1.0.21 Beta
Фикс: программа могла вылететь при чтении некоторых MSI ярлыков.
Улучшена скорость сортировки секций.
1.1.0.20 Beta
Постанализ: "для лечения" помечаются также ярлыки, имеющие общие признаки с зараженными.
Сортировка секций по признаку "для лечения".
Фикс: утечка памяти в функции рассчета хеша при блокировке файла антивирусом.
Выравнивание отчета для интернет-ярлыков (экспериментально).
Работа FTP восстановлена.

1.1.0.19
Добавлено распознавание имен копий ярлыков для браузеров, детектирование которых по части имени запрещено.
Если в пути к ярлыку / цели окажется один из символов \/:*?"<>|, путь будет переведен в формат 8.3.
Фраза "цель на съемном устройстве: NO_ROOT_DIR" заменена на "цель на съемном устройстве: ОТКЛЮЧЕНО"
Смена ссылки в связи с падением FTP сервера.

1.1.0.18 Beta
Пополнение и чистка баз.
1.1.0.17 Beta
Если запуск цели через cmd.exe и в аргументах нет скрипта, будет указан префикс [CMD] вместо [script].
Powershell.exe добавлен к списку скриптовых процессоров.
Добавлен ключ -openLogFile - в конце анализа открывает сам отчет вместо папки с ним.
1.1.0.16 Beta
Правила: модифицированные из секции "цель не существует" - лечим всегда, кроме случаев, когда цель на съемном диске (НО, при дописках лечим даже в этом случае).
Если скрипт пустой - в примечании будет указано "( 0 байт )".
https протокол признавать небезопасным.
Замена https -> hxxps в отчете всегда.

1.1.0.15 Beta
Пополнение баз
Отладочная информация - теперь больше данных в строке с ошибкой (например, на каком файле произошла).

1.1.0.14 Beta
Пополнение баз
Убрал исключение из лога ярлыков с целью с сетевым путем "\\IP\..." (1.1.0.13 Beta).
Убрал исключение из лога ярлыков с целью через GUID папки.
Знак окончания строки в скриптах заменен с \n -> на 0x182 "¶" (как в MS Word).
  • Like
Реакции: Кирилл
1.1.0.13 Beta
Если цель находится на съемном накопителе, ее чтение не производится, а ярлык будет попадать в секцию "цель не найдена" с пометкой "(цель на съемном ус-ве: <Тип устройства REMOVABLE/REMOTE/CDROM/RAMDISK>)".
1.1.0.12 Beta
Отключил снятие галочек RO у стандартных ярлыков Windows 8 / 8.1, на которых они всегда стоят по-умолчанию.

1.1.0.11 Beta
Фикс, когда не снимался прочерк у ярлыков с HTTP из секции "Цель не существует".

1.1.0.10 Beta
Пополнение баз.

1.1.0.9 Beta
Если ярлыки признаны чистыми, но имели атрибут ReadOnly, они проверяются по белому списку стандартных ярлыков Windows 8.

1.1.0.8 Beta
К списку "для лечения" добавлены ярлыки секции "цель не найдена", если имеют в аругменте WEB-адрес.
Исправлен баг поиска модифицированных ярлыков.

1.1.0.7 Beta
Более надежная проверка по списку безопасных WEB-адресов.
К списку "для лечения" добавлены ярлыки секции "цель не найдена", если они ссылаются на батник.

1.1.0.6 Beta
Исправлена ошибка неверного раскрытия переменной окружения под Wow64 для цели ярлыка.
Сверху Снизу