Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.34

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Ок.

Тогда такой вопрос: почему явные браузерные ярлыки (запускаемые из Панели задач, меню Пуск) попали в категорию
(((((( Прочие ярлыки ))))))
?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,344
Реакции
5,966
Баллы
998
Тогда такой вопрос: почему явные браузерные ярлыки
потому что на самом деле это не так, а всего лишь маскировка под браузерный ярлык (подмена символов на похожие). И похоже вирусописали сумели вас провести ;).
Новая версия чекера распознаёт эту маскировку и автоматом предлагает эти ярлыки на лечение.
PS. хочу обратить внимание, что даже до того как добавили детект этой маскировки, чекер выводил эти заражённые ярлыки в лог.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Ок. Проверим :)
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Еще кое-что

http://virusinfo.info/showthread.php?t=173626
Первая группа в логе явно лишняя для исправления по умолчанию. Такие ярлыки устанавливаются за компанию с Amigo. Или они будут просто удалены? Если так, то претензию снимаю :)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,344
Реакции
5,966
Баллы
998
Первая группа в логе явно лишняя для исправления по умолчанию.
Почему же она лишняя? К ярлыкам дописана не понятная реферальная ссылка. После исправления ярлык останется и будет выполнять своё назначение, а левая ссылка будет удалена ;).
Или они будут просто удалены? Если так, то претензию снимаю
Если вы перед этим удалить Амиго, то они будут удалены, так как цель не найдена.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Я к тому, что их править вообще не нужно. Под снос и делов
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,344
Реакции
5,966
Баллы
998
Я к тому, что их править вообще не нужно. Под снос и делов
Если Амиго установлен, то возможно пользователь им пользуется в качестве браузера. В таком случае удалять ярлыки на установленный браузер неправильно. А вот если Амиго удалён, то можно и ярлыки за ним спокойно удалять.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Такое г... само устанавливается обычно
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,344
Реакции
5,966
Баллы
998
thyrex, это понятно, но в чём смысл удаления только ярлыков без удаления программы?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Браузер Amigo не относится к категории "Вредоносное ПО", поэтому однозначное внесение его ярлыка в чёрные списки
по причине серой модели распространения является спорным решением.

По желанию пользователя ярлык будет удален, если дать рекомендацию ClearLNK после скрипта AVZ,
который снесет тушку браузера, если стандартными средствами его удалить не представляется возможным.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

1.1.0.27
[функционал] Добавлено отображение маскировки браузерных .URL-файлов.
[функционал] Деобфускация некоторых видов скриптов.
[баг] В версии 1.1.0.26 не работал эвристик для файлов *.URL
[баг] Ошибка в парсере файловых имен (GetFileName), если объект не имел расширения.
[вид] Добавлено выравнивание целей LNK в отчете по интервальной сетке ( /+10 )
[вид] Изменено выравнивание целей URL по фиксированной сетке ( 70/100/+15 )
Узнать больше об этом обновлении...
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
921
Баллы
453
=========================================================================
(((((( Прочие ярлыки ))))))
=========================================================================

_________________ Подозрительные ( низкий риск ) ______________________

-[CMD] "C:\ProgramData\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\ProgramData\ProgramData.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\My Music.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
-[CMD] "C:\Users\Пользователь\Downloads\World at War\World at War.lnk" -> ["C:\Windows\system32\cmd.exe" -> /c start ..\MozillaFirefox\GoogleChrome.exe /AutoIt3ExecuteScript ..\MozillaFirefox\GoogleChrome.a3x explorer ChrW(37) & ChrW(84-17) & ChrW(87-19) & ChrW(35+2) & exit]
А такие ярлыки в автоматическом режиме не предлагаются к удалению.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Пока только на глаз.
Уровень популярности зловреда < шанса ложного срабатывания от нового правила.
Если станет более популярным, тогда будем думать / жертвовать скоростью анализа.
Мы все еще придерживаемся безопасной модели поведения чекера.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
thyrex, принимается. Временно занесу его в базу, как браузер. Потом придумаю что-то по-умнее.
В базах клинера он уже есть.

Пока выпущу промежуточную версию.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.28
[функционал] Добавлен белый список скриптов.
[функционал] Добавлено детектирование майнеров криптовалюты (лечение только по решению аналитика). Префикс [MINER].
[функционал] Бинарный парсер обучен разбору юникодных секций.
[функционал] Добавлено раскрытие псевдонимов и путей особых ярлыков, чей объект задан через строки-идентификаторы Shell Namespace ::{GUID}, например, Яндекс.Диск, DropBox, Mail.ru Cloud. (пока не работает)
[функционал] Регулярка статических имен ярлыков дополнена:...
Узнать больше об этом обновлении...
Из известных багов новой версии - Яндекс.Диск, DropBox, Mail.ru Cloud показывают, что пути к папке нет.
Это неправда. Сам псевдоним раскрывается правильно.

- "C:\Users\Alex\Links\Яндекс.Диск.lnk" -> ["::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{19170A69-A883-40D5-AF97-F6DC41495F15}"] -> Яндекс.Диск -> (нет цели)
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
___________________ Подозрительные ( низкий риск ) ____________________
-[*.URL] "C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Internet Explorer.lnk" -> ["C:\Documents and Settings\All Users\Application Data\Yandex\YandexBarIE\help.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url"] -> hxxp://sindex.biz/?company=3
-[*.URL] "C:\Documents and Settings\Admin\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk" -> ["C:\Program Files\Internet Explorer\IEXPLORE.url" -> -extoff] -> hxxp://sindex.biz/?company=3
С чего вдруг попали в низкий риск?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
thyrex, спасибо за сигнал.
В одной из версий случайно сламал логику. Исправлю в ближайшее время.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
В данный момент эвристическая "зачистка" активируется, беря образец только из браузерных ярлыков (предотвращение ложных срабатываний).
Редко бывает, когда есть дописки в "прочих ярлыках", но нет в браузерных.
Хотя за последнее время может, что и поменялась. Давно не следил за статистикой.
Вообщем, прощупаем этот вопрос еще раз...
Спасибо за лог.
 
Сверху Снизу