преди 40 минути, Кумчо вълчооо написа:

..Ние българите сме сред неможещите! Ние сме скамо от мрънкащите и ревящите.

Абе ние трябва да се радваме, че нас като ни атакуват, само си взимат каквото им трябва, без да нансят други вреди. Защото ако искат да ни сринат държавните системи, ще спрем рязко да функционираме като държава

Цитат

Правят го абсолютно всички, които могат да го правят! Ние българите сме сред неможещите!

То... не е за хвалба, ама това де го казваш не е вярно: http://www.nytimes.com/1990/12/21/world/bulgarians-linked-to-computer-virus.html

Забележи датата:

Цитат

Published: December 21, 1990

Цитат

И тук ли се пренесоха жалките напъни на някои хора да обвиняват Русия за всичко!

Човек, тук коментираме съвсем други неща. И както виждаш американски източници не обсъждам. Плюс това участието в атаката на двама руски офицера към Yahoo не означава задължително, че Русия го е направила. Ами, ако просто са искали пари?

Цитат

Арестованных офицеров ФСБ обвинили в сотрудничестве с ЦРУ

https://meduza.io/news/2017/01/31/arestovannyh-ofitserov-fsb-obvinili-v-sotrudnichestve-s-tsru

Хм... ами сега?

 

 

Редактирано 17 март 20179 г. от Методи Дамянов (преглед на промените)

Това вече засяга почти всички...

Цитат

Our research team has uncovered a new Zero-Day attack for taking full control over major antiviruses and next-generation antiviruses. Instead of hiding and running away from the antivirus, attackers can now directly assault and hijack control over the antivirus.
The attack begins when the attacker injects code into the antivirus by exploiting a new Zero-Day vulnerability. Once inside, the attacker can fully control the antivirus. We named this attack DoubleAgent, as it turns your antivirus security agent into a malicious agent, giving an illusion that the antivirus protects you while actually it is abused in order to attack you.

How Does DoubleAgent Work?
DoubleAgent exploits a legitimate tool of Windows called ‘Microsoft Application Verifier’ which is a tool included in all versions of Microsoft Windows and is used as a runtime verification tool in order to discover and fix bugs in applications. Our researchers discovered an undocumented ability of Application Verifier that gives an attacker the ability to replace the standard verifier with his own custom verifier. An attacker can use this ability in order to inject a custom verifier into any application. Once the custom verifier has been injected, the attacker now has full control over the application.
Application Verifier was created in order to strengthen application security by discovering and fixing bugs, and ironically DoubleAgent uses this feature in order to perform malicious operations.

Antivirus Attack Vectors
During a normal cyber attack, the attacker would invest a lot of effort hiding and running away from the antivirus. By using DoubleAgent, the attack can take full control over the antivirus and do as he wish without the fear of being caught or blocked. He could:

1. Turn the Antivirus into a malware – Perform malicious operations on behalf of the attacker. Because the antivirus is considered a trusted entity, any malicious operation done by it would be considered legitimate, giving the attacker the ability to bypass all the security products in the organization.
2. Modify the Antivirus internal behaviour – Changing the antivirus whitelists/blacklists, internal logic and even installing backdoors. The antivirus would still appear to work normally but would actually be completely useless, giving the attacker the ability to execute malware that would normally be blocked without any interference.
3. Abusing the Antivirus trusted nature – The antivirus is considered one of the most trusted entities in an organization. The attacker can use the antivirus to perform operations that would normally raise “red flags” like exfiltrating data, C&C communication, lateral movement, stealing and decrypting sensitive data, etc. All of these operations would seem legit because they are done by the antivirus.
4. Destroy the Machine – The antivirus has complete power over the machine, which can allow it to easily encrypt all your files or even format your hard drives.
5. Denial of Service – An antivirus software is responsible for signing software to act maliciously based on a set of heuristic rules. This means that the attacker can sign a totally legit and critical software such as browser applications, document viewers, or even some key components that are deep within the operating system. Once the signature has spread across the organization, it would then cause a total denial of services for the entire company. Once an antivirus decides a file is malicious, it would create a signature for it and share it globally around the world. Because the attacker controls the antivirus, he may sign totally legit and critical applications such as browsers, document viewers, or even some key components that are deep within the operating system. Once the new signature has spread across the organization, all the other instances of the antivirus would remove/delete the critical application causing total denial of services for the entire organization.

https://cybellum.com/doubleagent-taking-full-control-antivirus/

Пропуснах това

Цитат

Vulnerable Antiviruses
The list of vendors that have been tested and found to be vulnerable to DoubleAgent.
The tests were done on the latest version of the vendor on Windows 10 x64 using our POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

 

Редактирано 23 март 20179 г. от NIKISHARK (преглед на промените)

Comodo уж с проактивните не са толкова засегнати:

https://forums.comodo.com/general-discussion-off-topic-anything-and-everything/new-attack-uses-microsofts-application-verifier-to-hijack-antivirus-software-t118521.15.html

ESET

Тук нещо интересно:

http://www.kernelmode.info/forum/viewtopic.php?f=2&t=4687

И тук коментарите са интересни:

https://www.bleepingcomputer.com/news/security/new-attack-uses-microsofts-application-verifier-to-hijack-antivirus-software/

 

Касперски вече са пуснали пач.

Нещо интересно:

Zemana Antimalware Ultimate

https://www.zemana.com/en-US/AntiMalwareUltimate

Към момента явно е обновена гадината използваща рууткит техники за предпазване (при инсталирането си предизвиква син екран и се инсталира на системите и след нормалното зареждане вече антивирусните не работят с предупреждението - Requested resource are in use. Преди се почистваше от Safe Mode, но вече това май не е възможно и се използва възстановителна среда. Засега нямам право да давам повече информация.

Постнах дропъра, ако на някой му се тества:

 

Има нова версия вече на adware-a. Самия дропър стана ясно, че идва с Win32/IStartSurf.BF potentially unwanted (според ЕСЕТ), а самата гадина по дефиниции се казва a variant of Win32/Adware.5Hex.B application (според ЕСЕТ) или Trojan.Trafmous (според Emsisoft)

В новата версия има обновен списък на блокираните цифрови подписи и сертификати и имена на различните антивирусни програми и нови файлове и папки с нови имена и разположение. Засега списък ще се въздържа да давам, защото не се знае, кой чете форумите, а явно в момента гадината е в подем на развитие.

 

Over 14,000 SSL Certificates issued to PayPal phishing sites

и още:

https://www.bleepingcomputer.com/news/security/14-766-lets-encrypt-ssl-certificates-issued-to-paypal-phishing-sites/

Цитат

The general public needs to be aware of the difference between a DV and EV certificate.

The community has spent meany years trying to highlight that lack of secure SSL/TLS for websites, that now it's in place, the community needs to highlight the different *Types* of certificates available and what they mean for the website visitor.

https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/4Xy1Q6PHA7Y/GB4rN_mSCAAJ

Да, да, и всички да станем специалисти по инфосигурност и процесите по издаване на сертификати. Наистина, в случая сякаш по-голяма вина може да се прехвърли (или направо цялата?) на браузърите. Като ти казват "СИГУРЕН" (secure), да припомнят, че връзката към сайта, а не самия сайт е "сигурен", а не да ни повтарят разни секюрити гурута: "Вписвайте се само в защитени с HTTPS ресурси. Те са благонадеждни". RLY?

Редактирано 28 март 20179 г. от Методи Дамянов (преглед на промените)

на 27.03.2017 г. в 20:10, B-boy/StyLe/ написа:

Има нова версия вече на adware-a. Самия дропър стана ясно, че идва с Win32/IStartSurf.BF potentially unwanted (според ЕСЕТ), а самата гадина по дефиниции се казва a variant of Win32/Adware.5Hex.B application (според ЕСЕТ) или Trojan.Trafmous (според Emsisoft)

В новата версия има обновен списък на блокираните цифрови подписи и сертификати и имена на различните антивирусни програми и нови файлове и папки с нови имена и разположение. Засега списък ще се въздържа да давам, защото не се знае, кой чете форумите, а явно в момента гадината е в подем на развитие.

Вече има вариант да се почисти лесно без използването на Recovery Environment и специализирани инструменти с помощта на метод позволяващ на Malwarebytes Anti-Rootkit да стартира въпреки забраната на гадината, която го блокира по цифров подпис.

https://support.malwarebytes.com/customer/portal/articles/2097176?b_id=6400

Нова версия на Cerber!

http://news.softpedia.com/news/new-cerber-ransomware-variant-dodges-machine-learning-514400.shtml

 

Нещо интересно от блога на Емсисофт:

http://blog.emsisoft.com/2017/03/30/spotlight-on-ransomware-common-infection-methods/?ref=ticker170330

С Chrome съм . Случва се като щракна на чисто място върху отворен сайт ( TV Nova примерно) да ми излезе нов прозорец приканващ ме да си инсталирам някакви екстеншъни . При това много нахални - няма начин да затворя прозореца , даже и браузъра като цяло . Освен да затворя браузъра през Таск Мениджъра .

Какво значи това ? Опасно ли е ? Добре ли е да приема поканата за инсталация ? ......

Моля за конструктивен отговор и пояснения ?

преди 15 минути, by_chechi написа:

С Chrome съм . Случва се като щракна на чисто място върху отворен сайт ( TV Nova примерно) да ми излезе нов прозорец приканващ ме да си инсталирам някакви екстеншъни . При това много нахални - няма начин да затворя прозореца , даже и браузъра като цяло . Освен да затворя браузъра през Таск Мениджъра .

Какво значи това ? Опасно ли е ? Добре ли е да приема поканата за инсталация ? ......

Моля за конструктивен отговор и пояснения ?

Дай линк и скрийншот да видим за какво става въпрос.

преди 6 минути, URIEL написа:

Дай линк и скрийншот да видим за какво става въпрос.

Всички функции се блокират , включително принтскрийна...освен таскмениджъра....

Редактирано 31 март 20179 г. от by_chechi (преглед на промените)

преди 4 минути, by_chechi написа:

Всички функции се блокират освен таскмениджъра....включително принтскрийна...

Ами дай линк поне.А отностно блокирането не е добре.

Сканирал ли си с някакъв софтуер за вируси?

 

преди 9 минути, URIEL написа:

Ами дай линк поне.А отностно блокирането не е добре.

Сканирал ли си с някакъв софтуер за вируси?

 

Антивирусната (относително слаба е) нищо не дава . Бе как да дам линк - всичко ми блокира ? Иска да щракна на "приемам" - по 2-3 прозорчета се отварят , и толкова . Нищо друго освен звук (бимбялка) когато щракна върху нещо друго...

Хубавото е , че като спра браузъра от таскмениджъра нещата се оправят .....Имам усещането като при заложена мина от вън - настъпиш ли и гърмиш...

Редактирано 31 март 20179 г. от by_chechi (преглед на промените)

Ами провери се с това поне:

https://www.kaldata.com/софтуер/malwarebytes-anti-malware-49362.html

Инфото което ми даваш е недостатъчно.Но принципно не трябва да се инсталират приставки от разни сайтове.

Най сигурно е тук

Това е от мен.

преди 1 час, URIEL написа:

Ами провери се с това поне:

https://www.kaldata.com/софтуер/malwarebytes-anti-malware-49362.html

Инфото което ми даваш е недостатъчно.Но принципно не трябва да се инсталират приставки от разни сайтове.

Най сигурно е тук

Това е от мен.

Благодаря ! 

....не мога да кажа , че е инфектирана - от вън нахлува . Някакъв пробив във сигурността може би - отворена задна вратичка някаква.....Всичко друго си е на "6" !

П.П. Въъъййй ! За година и половина - то се нафрашкало с бандити !

Ама на кой да му дойде на ум ?! 

Излови ги ! Надявам се да е това....

malware.txt

Още веднъж благодаря ! 

Редактирано 31 март 20179 г. от by_chechi (преглед на промените)

преди 9 часа, by_chechi написа:

Благодаря ! 

....не мога да кажа , че е инфектирана - от вън нахлува . Някакъв пробив във сигурността може би - отворена задна вратичка някаква.....Всичко друго си е на "6" !

П.П. Въъъййй ! За година и половина - то се нафрашкало с бандити !

Ама на кой да му дойде на ум ?! 

Излови ги ! Надявам се да е това....

malware.txt

Още веднъж благодаря ! 

Като изключим Iobit имаш и други проблеми.

Виждам че не си трил.Хубаво е да се съветваш с някой член на HJT.

Иначе можеш да досканираш и с JRT и с adwcleaner.

И с това https://www.emsisoft.com/en/software/eek/

Ако не искаш да те лекуват си сканирай сам и махни тия програми на Iobit.Няма полза от тях.

на 28.03.2017 г. в 21:10, B-boy/StyLe/ написа:

Вече има вариант да се почисти лесно без използването на Recovery Environment и специализирани инструменти с помощта на метод позволяващ на Malwarebytes Anti-Rootkit да стартира въпреки забраната на гадината, която го блокира по цифров подпис.

https://support.malwarebytes.com/customer/portal/articles/2097176?b_id=6400

Вече няма нужда да се използва този алтернативен метод. Malwarebytes Anti-Rootkit има нова версия, която не е подписана и стартира безпроблемно и се справя със заразата. Крайно време беше, защото ми омръзна да го почиствам ръчно (а и си беше играчка):

https://forums.malwarebytes.com/topic/198907-requested-resource-is-in-use-error-unable-to-start-malwarebytes/

Има и още една програма, която вече се справя с гадината. Имаше цифрова неподписана версия, но вече излезе и цифрова подписана такава, но без да бъде блокирана от гадината и може да се използва със сертификата си - Zemana AntiMalware:

http://dl12.zemana.com/AntiMalware/2.72.2.388/Zemana.AntiMalware.Portable.exe => преносима версия

http://dl12.zemana.com/AntiMalware/2.72.2.388/Zemana.AntiMalware.Setup.exe => инсталираща се версия.

 

Нямам регистрация за да помогна на потребител в този форум (а и не можах да се регистрирам, защото форума явно има проблеми), та, който има регистрация тук да каже на потребителя saimynsf как да се почисти: (ако вече не е преинсталирал, разбира се).

 

Цитат

 

Здравейте !

Имам някакъв сериозен проблем на компа си . Не мога да инсталирам никакви програми , не мога да отворя старт менюто (само с клик на десен бутон ми дава някои възможности) , ако дам десен бутин върху отворена програма в лентата долу също не ми излизат разните там опции . При стартиране на някой браузр ми отваря винаги няква страница с черен фон ,а в средата на страницата нещо си зарежда ,затварям страницата и мога да сърфирам . При стартиране на хром е по-лошо защото не ми зарежда никакви страници .
Не мога да инсталирам анти-вирусна да му се . Всичко стана след като инсталирах Hot Spot Shield и след това опитах да го Crack-на . И преди съм го правил и не съм имал проблеми , но този път нещо се обърка .
Ако може да ми дадете и съвет как да добавя приложение в Google Chrome . Промених папката в която да свалям файлове и след това си *** мамата . Освен ,че не мога да добавям нови проложения ,изчезнаха и тези които бях добавил . Преинсталиране и връщане на старата папка за даунлоуд не помогнаха .
Не съм много на ти с компютрите за това ,ако някой може да помогне ! Благодаря предварително !

При опит да инсталирам програма излиза грешка и пише това "The requested resource is in use"

 

http://forums.data.bg/index.php?s=1ad4959b3d1454aca94de0593c459194&showtopic=2171730&view=findpost&p=16513326

Това съм го пропуснал-във Zemana AntiLogger и Zemana AntiMalware в сътрудничество със Farbar,са интегрирали Farbar Recovery Scan Tool (FRST)

 

Има го от известно време и във Zemana AntiMalware, но не е ясно доколко са се разбрали с Farbar, защото той е на почивка..Не пречи да са разменили по някой e-mail, разбира се, но ми се струва, че ако не е бил съгласен бързо ще бъде премахнат в следващите версии на програмата. Имаше вече подобни случаи с премахването на AdwCleaner от UVK.