Как одержать победу над свежим Botnet вирусом?

Anonymous,
Оке, сниму видос на днях и скину ссылку)
Я когда первый раз увидел сам охренел, много раз перепроверял) Мое устройство физически не имеет не каких лишних подключений, WiFi модуля в материнской плате нет тоже.
Ток мне еще надо найти аналог Monitor Connection. Мой дорогой оператор уже нашел способ обходить ее незаметно)

Как одержать победу над свежим Botnet вирусом?

pfg21,

Прочитал. все как и говорил, описывается как данный вирус записывает свой исполняемый код в раздел UEFI на носителе.
Q. E. D.
про запись в бивис, упоминается только два зловреда и требование очень высоких привилегий... оно и ежу понятно

Короче да спасибо меня чет жестко не в ту сторону повело, щас сижу сам в шоке) Вот оно и решение, капец ))))))
У меня как раз был пробел с тем как EFI сектор работает, вот оно и вскрылось))))
Зловред создает для диска раздел с 16мб занятого, если раздел удалить тут же новый создается) На флешках форматированный раздел EFI так же пересоздается. Для доступа к содержимому мне конечно права ограничили, блин жаль мне не узнать что там мне теперь ппц интересно

Как одержать победу над свежим Botnet вирусом?

tut_nick, вообще идея хорошая, они правда стоят так не кисло, надо поискать может где можно в аренду взять, потестить. По поводу айпишники увидеть, наврятли они совсем овощи и делают все это не покупая прокси или хороший впн у которого сервера ничего не хранят. Такие люди поболее других должны знать об анонимности.

Как одержать победу над свежим Botnet вирусом?

Артём,

Ну конечно

А давайте поспорим?)
Сколько вы готовы поставить?)
А спор для чистоты можно через гаранта провести)
Я все на видео с телефона сниму, без обрезаний от начала до конца одним цельным видео) Как раз штатив подарили на днях :в

Как одержать победу над свежим Botnet вирусом?

Anonymous,

Это невозможно)

На что готовы поспорить?)

Я лично готов 100 евро (сейчас это чуть больше 10к рублей) поставить, так как мы не знакомы можем даже через гаранта спор оформить)
Ну или можете назвать свою сумму)

Как одержать победу над свежим Botnet вирусом?

Пост уже привлек некоторое внимание, хотелось все это разбавить немного моим троллингом оператора)

Дело было кажись неделю назад. Тогда я пробовал бороться внутри системы. Цель была ограничить оператору возможность ко мне коннектится. Как я уже говорил подключаются они локально, тобишь у меня может даже не быть интернета и это не мешает ему подключаться. Тогда я поставил как раз персональный фаерволл (для локальной защиты) Nod32 и утилиту Desktop Secret Lock на случай если он прорвется через фаерволл.
Эта утилита позволяет запоролить десктоп чтоб мамкиному хацкеру пришлось вводить пасс.
На экран ввода пароля я подготовил картинку где пердолят мужика а на лице ему налепил маску анонимуса. Тип хакера имеют :D
На рабочий стол себе просто поставил изображение чела в копюшоне и маске анонимус который показывает фак, типо это адресовано ему.
Первые пол часа он не мог пройти фаервол я отслеживал новые процессы имеющие лишние подключение и те на что мне хватало прав в системе я закрывал по возможности, не знаю даже сильно ли ему это в действительности мешало ему. Через пол часа он прорвался через фаерволл и я увидел подключение в Connection Monitor. Вот тут началось самое угарное. В логах Display Secret Lock я увидел что он просто пытается угадать пороль раз за разом неправильно его вводя и причем достаточно яростно так как неправильно он его вводил наверное раз 40. Я уже со смеху катался по полу, прям чувствовалось как же у него подгорает пердак :D
Все это время он пытался угадать пароль глядя на картинку где его пердолят :D

После он затих минут на 20. Я уж думал ну все сдался) Но нет, он вернулся уже с возможностью не вводя пароль просто разблокировать в этой утилите десктоп. Факт разблокировки без ввода пароля был тоже виден в логах. Я пробовал перезагружаться чтоб возвращать его обратно к фаерволу и снова закрывать подозрительные новые процессы и все последующие разы он все быстрее проходил фаерволл пока не научился это делать мгновенно) Да и Desktop Secret Lock его уже тоже не сдерживал он спокойно разблокировал каждый раз.

После он решил мне ответить и сменил пороль от моего профиля в винде)

Как одержать победу над свежим Botnet вирусом?

Павел, если знаете софт который тоже может эффективно детектить подключения предлагайте свои варианты. Я говорю о тех инструментах что нашел сам и что гарантировано работает. Можно еще в Nod32 с фаерволом смотреть какие процессы имеют внешние подключения. Где то выше я скрин кидал. Но мониторить конкретно подключения оператора таким образом чуть более запарно по мне.
Яж не предлагаю покупать его, да и сам бы не стал скорее всего, он мне нужен только в рамках этой войны с мамкиными хацкерами :в

Как одержать победу над свежим Botnet вирусом?

Я переустанавливал винду уже раз 50 и у меня эта папка утеряна. Она сохранилась у одного моего приятеля после заражения когда буду у него гостить могу скрины сделать. Обратите внимание на дату и время создания этой папки и проверьте свои скачанные файлы. Ищите что то что вы скачивали в это время или чуть незадолго до него. Чаще всего там окажется архивный файл.

Поставьте себе софт -
https://www.10-strike.ru/connectionmonitor/pro.shtml

У него есть бесплатный пробный период. Просто держите эту программу открытой, можете в трей свернуть просто.
Если к вам подключится оператор будет звуковой сигнал и придет уведомление о его подключении, если вы будете в этот момент у компа то точно не пропустите. Промониторьте таким образом свою систему хотя бы пол дня и отпишите мне сюда.

Как одержать победу над свежим Botnet вирусом?

pfg21, о, вы же тот человек что предлагал просто переустановить начисто виндоус?) Можете оставаться при своем мнении это ваше право, я сюда не ругаться пришел. Но скажу точно вам стоит ознакомиться с тем на что способны современные ботнеты например на примере Glubteba -
https://unit42.paloaltonetworks.com/glupteba-malwa...

Как одержать победу над свежим Botnet вирусом?

ValdikSS,

1. Скрины будут ниже, это еще более свежие что я сделал. До этого аваст обнаружил файлы на которые ругнулся когда я только обнаружил проблему, они были в папках кэша браузера Opera. Файлы были зашифрованны но некоторые строчки текста остались видны а именно зеркала 1Win и упоминания DDOS-Guard

Upd скрины не грузит не ссылкой не с телефона найду чуть больше времени поедоставлю

Upd.2 - скрины https://postimg.cc/gallery/SyPV0bg

Upd. 3 - Вторая часть вашего вопроса касалась кражи личных данных. Опять же вернусь назад в день когда я все обнаружил и скачал аваст просто чтоб 1 раз проверить. Он тогда увидел подмену страниц с помощью DNS для кражи поролей. На тот момент мой оператор был достаточно беспечен, раз даже сам спалился и видя что у меня нет антивируса не прятал некоторые свои действия. Позде была ситуация когда мне надо зайти с компа в телеграмм что бы передать себе некоторые логи, почему то тогда мне казалось что QR код это безопасно. Ко мне подлогинило другого типа у него вместо названия устройства и IP отображалось только Unknown в устройствах в телеграме. А моя страничка с QR кодом просто обновилась.

2. Да в этом я могу путаться как и в названиях, сам вопрос писал уставши не спавши. Все будет исправлено. Для меня главное что этот софт работает. Мой оператор отключал мне службу ConnMonn чтоб заходить без стука, но я попросил ChatGpt написать батник который будет проверять процесс ConnMonn.exe и если тот отсутствует то вклбчать, каждые 5 сек. Сейчас он пошел дальше и просто поломал мне этот софт скрутив пробный период с 30 дней в 0.

3. Спасибо что проверили это. Но во всех известных мне случаях заражения эта папка с кучей .js скриптов внутри создавалась не при установки WinRar а именно при взаимодействии с зараженным архивом. Возможно их код предустанаыливает другую версию WebView2 необходимую для их работы. Если есть желания я могу скинуть зараженный архив на файлообменик и дать вам ссылку, можете безопасно протестировать на виртуальной машине. Но это если есть желание, как только я смогу нормально пользоватся пк буду сам тестить)

Upd - сама папка скорее всего и не является вредоносной, но факт ее появления после взаимодействия с архивом с каким-нить модом, софтом для материнки или библиотекой как в моем случае заставляет задуматься)

Upd - хотел так же упомянуть что как я писал выше своих знакомых с такой папкой после винрар архива я так же проверял с помощью Connection Monitor, и везде выявил факт подключения оператора. Правда 1 случай отличался. У одного приятеля подключений не наблюдалось вовсе, я решил что можно с его пк попробовать поставить линукс на грязную флешку просто для теста авось нормально встанет. Стоило только скачать образ линукса, открыть его свойство как в туже секунду происходило подключение. После мы снова открывали свойства образа и наблюдали подключение в туже секунду. Тогда я не придал этому значение, а после подумал что возможно оператора автоматически конектило. Я к этому еще вернусь когда буду гостить у него.

4. Я изменю этот комментарий в районе 5-7 часов вечера с ответом на вопрос. Сейчас не так много времени.

5. Дома буду проверю и отвечу спасибо

6. Да обновления Edge это нормально. Но разве там должны быть команды для командной строки расширяющие доступ для всех юзеров?

--configure-user-settings --verbose-logging --system-level --msedge

Upd - Windows скачанный с офф сайта майков (последняя версия) на чистую флешку после переустановки обновляет Edge до версии 92.0.902.67 образца 2021 года?

Щас быстренько глянул дома подробнее ознакомлюсь с вашей ссылкой

Как одержать победу над свежим Botnet вирусом?

Zerg89, Сегодня вечером буду линукс тестить, вчера как раз оьраз на флешку записал. Щас новые подробности раскрылись с использованием Kaspersky Disk Rescue , дело в том что он работает после UEFI и до загрузки ОС создавая восстановительную среду на базе linux. Ставил на чистую флешку (это уже моя последняя чистая). После нескольких часов танцев с бубном выяснилось что из образа пропал или на что я очень надеюсь не записалось ядро линукса которое утилита использует для своей работы. Я читал на другом форуме где парню тоже попалась похожая по внедрению зараза и у него была как раз проблема с тем что линукс не ставился, вредоносный код был настроен на повреждение файлов линукса)
Я конечно надеюсь что это не мой случай и вечером все нормально встанет.

По поводу переписать их код в UEFI. Для начала бы понять в каких именно секциях UEFI расположился паразит, их там славо богу всего 3. Чем глубже, тем дороже хакерам обходится ботнет. Так как они заражают простолюдимов и обывателей можно для начала предположить что он в секции EFI. Как правило этой секции им более чем достаточно. Вообще мне бы хотелось установить что это именно за ботнет чтоб поискать про него инфу целенаправленно.

Как одержать победу над свежим Botnet вирусом?

anonymous Спасибо что дополнили вот это мне важно было узнать. Ато я так вскольз посмотреть как программатором пользоваться а материалы по большей части «как спасти мать, если возникли проблемы при стандартной прошивке флешкой». У меня аж сложилось вспечатление что все на что он способен на пк это прошить биос материнки) Ну опять же я не вникал слишком так вскольз посмотрел)

Как одержать победу над свежим Botnet вирусом?

Вариант с программатором я как раз приберерег до зарплаты(щас не лучшие дни) Это может помочь только если вирус реально только в UEFI. Я много читал про ботнеты есть классные статьи и везде заряженные как раз использовали именно UEFI rootkit (Например: Glupteba, BlackLotus). Но в сеть слили сборку Mirai, правда когда я так и не понял толи год толи полиара года назад и уже на ее основе интузиасты начали клепать свои ботнеты. По факту я не знаю какой достался мне и моему окружению их херова туча и кто его знает какой там Rootkit букет.
Но если до зп так и не найду решения то программатор обязательно куплю :)

Как одержать победу над свежим Botnet вирусом?

CityCat4 вы мне немного напоминаете моего ближнего приятеля, у которого тоже комп досит) Он удивился мол с чего это я так этим загорелся, сам сидит спокойно играет словно ничего не пройзашло) А эта гадина еще и пороли собирает подменяя с помощью DNS странички. Я как то с оперы решил по QR коду зайти web.telegram и мне в аккаунт другого типа подлогинило а страничка с QR кодом просто обновилась) Получается когда у него что-то украдут (это хорошо если не аккаунт в стиме), он будет говорить почему я до сих пор это не решил?

Как одержать победу над свежим Botnet вирусом?

Спасибо что заметили, я часто путаюсь в названиях, особенно когда сонный, вскоре исправлю все названия на корректные
Ловите ссылочку

https://www.10-strike.com/connectionmonitor/

Как одержать победу над свежим Botnet вирусом?

Что по поводу антивирусов внутри системы они бесполезны) Я это вижу как два слоя. В одном сижу я, а на втором невидимом слое творится вся грязь. Причем сам вирус себя ведет внутри моего слоя не как вирус а прикидывается обыкновенными системными процедурами/процессами. Идея изолировать устройства действительно хорошая, это точно придется пробовать) Щас вот на чистую флешку в комп клубе записал kaspersky rescue disk (как-то мимо ушей эту утилиту пропустил) ну и в качестве временного убежища LinuxMint (очень маловероятно что этот пакет вирусов еще и к разным дестрибутивам линукса окажется приспособлен).
Я своим вопросом хотел не только найти решение, но и предупредить хоть кого-то о том какую угрозу нашел, когда мое окружение нахваталось этой гадости а я понял что в интернете об этом даже не кто не пишет пригорело знатно. Я даже не представляю как бешено эта гадость щас может распространятся)
Вообщем да щас все будем тестить дальше)

Что по поводу фаервола. Во первых не каждый подойдет так как зараженный пк размещается в их сети локально. Если фаерволл будет защищать от угроз из интернета то это сразу мимо они все равно могут коннектится. Тут нужен персональный фаервол, такой есть в Nod32 internet secure premium. Но пока система у них на ладони а ядро винды явно подменено это временная преграда, мой оператор достаточно быстро научился его обходить)
Это я еще не рассказал историю как я его затролил жестко когда решил бороться внутри системы, правда в конечном счете пришел все равно к выводу что это бесполезно)

Как одержать победу над свежим Botnet вирусом?

pfg21, дружище вот в этом то и вся беда что эти времена давно прошли) Щас из-за UEFI Rootkit порой люди материнки меняют (на других форумах видел, парень пол компа перелапатил)

Как одержать победу над свежим Botnet вирусом?

Saboteur, попробовать можно) Хотя бы посмотреть что ответят.

Как одержать победу над свежим Botnet вирусом?

Мне бы хотя бы установить что же это за ботнет в которой мы попали а там уже можно и информации на него нарыть и на его технологии. DDOS атаки были на казино 1Win и его зеркала и на gameanalytics.com. Пока все что удалось обнаружить.

Вот еще дополнительно забавный скрин с Nod32 тут можно посмотреть как процессы подключены к каким-то адрессам. Так как это еще и руткит естественно прав закрывать эти процессы у меня по большей части нету, а некоторые автоматически перезапускаються через 5-10секунд после закрытия.

Скрин

Сейчас все это выглядит как вирус нулевого дня. Я уже недели 2 с ним воюю, даже задумался о покупке программатора для перепрошивки BIOS им авость он все же там засел(
Я уже установил что заражаются им даже корпорации как в случае с AsRock, сооственно он щас активно распространяется а я только и жду когда же кто-то поднимет в интернете вопль на эту тему, этот вирусняк сложно заметить мне повезло что оператор дурачок попался сам спалился, так бы и сам не догадывался бы

Как одержать победу над свежим Botnet вирусом?

Забыл так же сказать что не 1 современный антивирус его не найдет в системе) По крайней мере UnHuckMe, Malwarebytes, NOD32 (если сканировать), Kaspersy TDSSKiller (anti-rutkit). Можно только найти их следы в системе таким образом.