Check Browsers' LNK by Dragokas & regist 2.2.0.42

[thyrex]

Ну так есть же (сделать) белый (черный) списки url. Внести сайт в черный и при обнаружении срабатывает автомат

 

[Dragokas]

Белый список есть.
На счет черного списка - спорно. Как ты считаешь, какая актуальность по времени у каждой его отдельной записи будет (из собственных наблюдений)?
База огромная должна быть (хотя на время проверки это не повлияет). Адреса постоянно меняются/ появляются новые/ много с реферальными ссылками.
Аргумент 2. Ранее сборка новой версии - это была куча ложных AV детектов, что сводило к 0 идею частого пополнения баз. Проблема с детектами на сейчас более-менее решена.
Так что, главный вопрос - целесообразно ли ?

 

[thyrex]

Что мешает, проверив ярлык запуска игры и увидев подмену в виде батника, который вызывает открытие ссылки, внести его в автомат?

 

[Dragokas]

Это наиболее приемлемый вариант.
Объясню, что сейчас мешает:
1) отсутствие баз по популярным играм (это решаемо)
2) наличие различных модификаций (в т.ч. репаки и моды) одной и той же игры в том числе ее запуск через батник (и такие попадаются легальные для той же World of Warcraft).
Попадался и запуск онлайновой игры через открытие ссылки в браузере опять же батником.
Но если рассматривать каждую игру по отдельности то, думаю, можно снизить риск до минимума.
3) есть еще способ обхитрить утилиту, но я о нем писать в открытую не буду, а злоумышленники перестали исхитряться (аж становится скучновато -).
В виду популярности этого вида заражений, возьмем идею за основу.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Исправлен баг

1.1.0.29
[баг] Ссылке на URL-файл для браузерного ярлыка присваивался низкий уровень риска.

Узнать больше об этом обновлении...
thyrex, а на счет этого:

Как ты считаешь, какая актуальность по времени у каждой его отдельной записи будет (из собственных наблюдений)?

как ты оцениваешь минимальное / максимальное время жизни записей Черных списков, взятых из тем лечения?
Как часто попадаются старые?
(статистика - важная штука)

 

[Phoenix]

_______________________ Имя браузера неверное __________________________

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\Chromium Secure\Internet (Chromium Secure).lnk" -> ["C:\Program Files\Comodo\Chromium Secure\chromiumsecure.exe"]
>>> "C:\Users\Public\Desktop\Internet (Chromium Secure).lnk" -> ["C:\Program Files\Comodo\Chromium Secure\chromiumsecure.exe"]
Почему ? https://www.comodo.com/products/free-products.php внизу.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Функционал + базы

1.1.0.30
[функционал] Добавлена секция "Другие файлы" с подсекциями "С браузерным именем" и "Меню "Пуск"".
Сюда включаются файлы, приравненные к ярлыкам (т.е. находятся в папке "Start Menu (ПУСК)")
с отображением размера и MD5 хеша. Для EXE-файлов указывается автор и проверяется наличие цифровой подписи.
[база] Добавлен браузер Comodo Chromium Secure
[лог] Алгоритм подсчета контрольной суммы лога заменен на CRC32.
[лог] Добавлены сообщения о возможном перехвате функции при чтении ярлыков, а...

Узнать больше об этом обновлении...

 

[mike 1]

Нужное исправляется, а вот ненужное остается.

 

[Dragokas]

chrome.exe, firefox.exe, opera.exe, seamonkey.exe, amigo.exe, torch.exe, vk.exe, ok.exe
Похоже на компьютер исследователя компьютерных вирусов

По делу:
Если бы лог сделали версией 1.1.0.28 или выше, то подсекция "Подозрительные ( низкий риск )" попадет под лечение.
За лог спасибо. Отлично подойдет под наполнение базы популярных игр.
На счет TorchLight, они немного упростили написание аргументов. Пополню базу со следующим обновлением.
На счет модифицированных ([modified]) точнее смогу сказать, увидев сами ярлыки из карантина. есть такой баг. Посмотрю в ближайшее время.
Ну а реферальные ссылки вида hxxp://r.mail.ru/n137259063 мы не одобряем из принципа и в любых проявлениях.

 

[mike 1]

Похоже на компьютер исследователя компьютерных вирусов

Не, это компьютер этого https://forum.kasperskyclub.ru/index.php?showtopic=45243 пользователя.

 

[Dragokas]

Исправлен и дополнен FAQ по состоянию к следующей версии программы.

 

[Dragokas]

FAQ переведен на английский язык и дополнен пунктом о программе AVZ LNK Script Helper.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.31
[отчет] Добавлена подсекция "Облачные хранилища".
[анализ] Улучшено определение степени вредоносности файлов URL.
[анализ] Добавлен эвристический анализ файлов URL небраузерных ярлыков.
[анализ] Добавлено 2 профиля определения вредоносности скриптов.
[отчет] Разделитель цели и аргумента заменен на "=>" (ранее был "->")
[отчет] Если ярлык поврежден, выводятся первые его 26 байт в виде HEX-строки. Подробности в FAQ.
[отчет] Для Windows 10 отображается версия Major/Minor/Build.
[база]...

Узнать больше об этом обновлении...

 

[Phoenix]

Dragokas, вот ты Фома неверующий.. http://chromium.woolyss.com/

E:\Windows\system32>dir E:\Users\userx\AppData\Local\Chromium\Application /b
40.0.2211.0
chrome.exe
debug.log
Dictionaries
VisualElementsManifest.xml

_______________________  Имя браузера неверное  _________________________

>>>  "E:\Users\userx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Chromium.lnk"  -> ["E:\Users\userx\AppData\Local\Chromium\Application\chrome.exe"]
>>>  "E:\Users\userx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk"  -> ["E:\Users\userx\AppData\Local\Chromium\Application\chrome.exe"]
>>>  "E:\Users\userx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium\Chromium.lnk"      -> ["E:\Users\userx\AppData\Local\Chromium\Application\chrome.exe"]
>>>  "E:\Users\userx\Desktop\Chromium.lnk"           -> ["E:\Users\userx\AppData\Local\Chromium\Application\chrome.exe"]

 

[Dragokas]

Как ни искал, все не мог найти этот браузер. Только сурцы.
Спасибо. Пополню базу.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Пополнение баз

1.1.0.32
[база] Добавлен браузер Chromium

Узнать больше об этом обновлении...

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Атрибуты ярлыков

1.1.0.33
[функционал] Добавлена подсекция "Скрытые ярлыки". Сюда попадают ярлыки с атрибутами скрытый либо системный (только для .LNK).
[отчет] Секция "Другие файлы" переименована в "Другие файлы и атрибуты".

Узнать больше об этом обновлении...

 

[mike 1]

Запустил на своем компьютере утилиту и достаточно много фолсов на нормальные ярлыки.

Check Browsers' LNK by Alex Dragokas & regist ver. 1.1.0.33 Beta

OS: x32 Windows 8.1 Professional with Media Center. Service Pack: 0
Language: OS: RU. Display: RU. Non-Unicode: RU
Time: 28.02.2015 - 18:28
IsAdmin: Yes
User: Михаил

=========================================================================
(((((( БРАУЗЕРНЫЕ ярлыки ))))))
=========================================================================

_________________________ Цель не существует __________________________

>>> "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk" -> ["C:\Users\Михаил\Dropbox"]
>>> "C:\Users\Mike\Links\Dropbox.lnk" -> ["C:\Users\Михаил\Dropbox"]
>>> "C:\Users\Mike\Links\Mail.Ru Cloud.lnk" -> ["C:\Users\Михаил\Cloud@Mail.Ru"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk" -> ["C:\Users\Михаил\AppData\Local\Programs\Opera\opera.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk" -> ["C:\Users\Михаил\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk" -> ["C:\Users\Михаил\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Dropbox\bin\Dropbox.exe" => /home]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cloud\Mail.Ru Cloud.lnk" -> ["C:\Users\Михаил\AppData\Local\Mail.Ru\Cloud\Cloud.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk" -> ["C:\Users\Михаил\AppData\Local\Programs\Opera\opera.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Dropbox\bin\Dropbox.exe" => /systemstartup]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk" -> ["C:\Users\Михаил\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Скриншоты в Яндекс.Диске.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Yandex\YandexDisk\YandexDiskScreenshotEditor.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Yandex\YandexDisk\YandexDiskStarter.exe" => -desktop]
>>> [modified] "C:\Users\Mike\Desktop\Dropbox.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Dropbox\bin\Dropbox.exe" => /home]
>>> [modified] "C:\Users\Mike\Desktop\Mail.Ru Cloud.lnk" -> ["C:\Users\Михаил\AppData\Local\Mail.Ru\Cloud\Cloud.exe" => -openFolder]
>>> [modified] "C:\Users\Mike\Desktop\Yandex.lnk" -> ["C:\Users\Михаил\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [modified] "C:\Users\Mike\Desktop\Яндекс.Диск.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Yandex\YandexDisk\YandexDiskStarter.exe" => -desktop]

_________________________ Цель не существует __________________________
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\SendTo\AVZ - распаковать карантин.lnk" -> ["C:\Users\Михаил\AppData\Roaming\AVZ DeQuarantine\AVZ - распаковать карантин.cmd"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\ICQ.lnk" -> ["C:\Users\Михаил\AppData\Roaming\ICQM\icq.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox\Uninstall Dropbox.lnk" -> ["C:\Users\Михаил\AppData\Roaming\Dropbox\bin\DropboxUninstaller.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICQ\ICQ.lnk" -> ["C:\Users\Михаил\AppData\Roaming\ICQM\icq.exe"]
>>> [modified] "C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICQ\Удалить ICQ.lnk" -> ["C:\Users\Михаил\AppData\Roaming\ICQM\icqsetup.exe" => -uninstallcu]

 

[Dragokas]

mike 1, спасибо. Знаю об этом. Еще не исправлял. Это первое на очереди.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.34
[баг] Исправлено ложное срабатывание на модифицированные ярлыки (спасибо Phoenix за образцы и тестирование).
[анализ] Добавлено сканирование профилей пользователей, о которых нет записей в реестре.
[база] Пополнены базы безопасных URL, скриптов.
[база] Добавлен белый список системных ярлыков Windows 8 и 10.
[отчет] Код языка теперь выводится в шапке лога (формат 16-ричный). Сокращенные имена (RU, EN, UA, BG) теперь выводятся полностью (ru-RU, en-US, uk-UA, bg-BG).

Узнать больше об этом обновлении...
Бедолаги. Уже и так, и сяк извращаются.