Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Скачать
Обзор F.A.Q. Обновления (46) Отзывы (4) История Обсуждение
Ок.

Тогда такой вопрос: почему явные браузерные ярлыки (запускаемые из Панели задач, меню Пуск) попали в категорию
(((((( Прочие ярлыки ))))))
Нажмите для раскрытия...
?
 
Последнее редактирование:
thyrex написал(а):
Тогда такой вопрос: почему явные браузерные ярлыки
Нажмите для раскрытия...
потому что на самом деле это не так, а всего лишь маскировка под браузерный ярлык (подмена символов на похожие). И похоже вирусописали сумели вас провести ;).
Новая версия чекера распознаёт эту маскировку и автоматом предлагает эти ярлыки на лечение.
PS. хочу обратить внимание, что даже до того как добавили детект этой маскировки, чекер выводил эти заражённые ярлыки в лог.
 
Еще кое-что

http://virusinfo.info/showthread.php?t=173626
Первая группа в логе явно лишняя для исправления по умолчанию. Такие ярлыки устанавливаются за компанию с Amigo. Или они будут просто удалены? Если так, то претензию снимаю :)
 
thyrex написал(а):
Первая группа в логе явно лишняя для исправления по умолчанию.
Нажмите для раскрытия...
Почему же она лишняя? К ярлыкам дописана не понятная реферальная ссылка. После исправления ярлык останется и будет выполнять своё назначение, а левая ссылка будет удалена ;).
thyrex написал(а):
Или они будут просто удалены? Если так, то претензию снимаю
Нажмите для раскрытия...
Если вы перед этим удалить Амиго, то они будут удалены, так как цель не найдена.
 
thyrex написал(а):
Я к тому, что их править вообще не нужно. Под снос и делов
Нажмите для раскрытия...
Если Амиго установлен, то возможно пользователь им пользуется в качестве браузера. В таком случае удалять ярлыки на установленный браузер неправильно. А вот если Амиго удалён, то можно и ярлыки за ним спокойно удалять.
 
thyrex, это понятно, но в чём смысл удаления только ярлыков без удаления программы?
 
Браузер Amigo не относится к категории "Вредоносное ПО", поэтому однозначное внесение его ярлыка в чёрные списки
по причине серой модели распространения является спорным решением.

По желанию пользователя ярлык будет удален, если дать рекомендацию ClearLNK после скрипта AVZ,
который снесет тушку браузера, если стандартными средствами его удалить не представляется возможным.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

1.1.0.27
[функционал] Добавлено отображение маскировки браузерных .URL-файлов.
[функционал] Деобфускация некоторых видов скриптов.
[баг] В версии 1.1.0.26 не работал эвристик для файлов *.URL
[баг] Ошибка в парсере файловых имен (GetFileName), если объект не имел расширения.
[вид] Добавлено выравнивание целей LNK в отчете по интервальной сетке ( /+10 )
[вид] Изменено выравнивание целей URL по фиксированной сетке ( 70/100/+15 )
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
=========================================================================
(((((( Прочие ярлыки ))))))
=========================================================================

_________________ Подозрительные ( низкий риск ) ______________________

-[CMD] "C:\ProgramData\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\ProgramData\ProgramData.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\World at War.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
Нажмите для раскрытия...

А такие ярлыки в автоматическом режиме не предлагаются к удалению.
 
Пока только на глаз.
Уровень популярности зловреда < шанса ложного срабатывания от нового правила.
Если станет более популярным, тогда будем думать / жертвовать скоростью анализа.
Мы все еще придерживаемся безопасной модели поведения чекера.
 
thyrex, принимается. Временно занесу его в базу, как браузер. Потом придумаю что-то по-умнее.
В базах клинера он уже есть.

Пока выпущу промежуточную версию.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.28
[функционал] Добавлен белый список скриптов.
[функционал] Добавлено детектирование майнеров криптовалюты (лечение только по решению аналитика). Префикс [MINER].
[функционал] Бинарный парсер обучен разбору юникодных секций.
[функционал] Добавлено раскрытие псевдонимов и путей особых ярлыков, чей объект задан через строки-идентификаторы Shell Namespace ::{GUID}, например, Яндекс.Диск, DropBox, Mail.ru Cloud. (пока не работает)
[функционал] Регулярка статических имен ярлыков дополнена:...
Нажмите для раскрытия...

Узнать больше об этом обновлении...
Из известных багов новой версии - Яндекс.Диск, DropBox, Mail.ru Cloud показывают, что пути к папке нет.
Это неправда. Сам псевдоним раскрывается правильно.

- "C:\Users\Alex\Links\Яндекс.Диск.lnk" -> ["::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{19170A69-A883-40D5-AF97-F6DC41495F15}"] -> Яндекс.Диск -> (нет цели)
Нажмите для раскрытия...
 
___________________ Подозрительные ( низкий риск ) ____________________
-[*.URL] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Internet Explorer.lnk" -> ["C:\Documents and Settings\All Users\Application Data\Yandex\YandexBarIE\help.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url" -> -extoff] -> hxxp://sindex.biz/?company=3
Нажмите для раскрытия...
С чего вдруг попали в низкий риск?
 
thyrex, спасибо за сигнал.
В одной из версий случайно сламал логику. Исправлю в ближайшее время.
 
В данный момент эвристическая "зачистка" активируется, беря образец только из браузерных ярлыков (предотвращение ложных срабатываний).
Редко бывает, когда есть дописки в "прочих ярлыках", но нет в браузерных.
Хотя за последнее время может, что и поменялась. Давно не следил за статистикой.
Вообщем, прощупаем этот вопрос еще раз...
Спасибо за лог.
 

Похожие темы

akok
  • Закрыта
Как подготовить лог Check Browsers' LNK
Ответы
0
Просмотры
4K
akok
akok
Dragokas
Анализ особых видов заражений с помощью Check Browsers’ LNK
Ответы
0
Просмотры
5K
Dragokas
Dragokas
Dragokas
[C#] Digital signature check
Ответы
13
Просмотры
1K
ChatGPT
ChatGPT
Назад
Сверху Снизу