Всем привет, в настоящее время очень часто можно найти такие темы на форуме по типу: "Помогите, как понять есть ли майнер", "рат", и так далее. Мы знаем, что такие вирусы обычно находятся почти что всегда в оперативной памяти вашего компьютера, в последствии для нашего инструмента будут легки в обнаружении. Многие знают, что ратники,майнеры, находятся обычно всегда в "активности", но на их сокрытие могут использоваться несколько средств, таких как: закрытие билда при включении пользователем различных утилит, как диспетчер задач, процессхакер и тому подобные, следовательно, их обнаружение значительно усложняется, есть еще более хитрые процессы, они инжектят себя в другой совершенно процесс: хром, свцхост и так далее, что делает их почти что нереальными для обнаружения. Немного поговорим об intezer: Intezer - это сайт, предоставляющих свои технологии для обнаружения различных угроз как ваших одиночных файлов, так и сканирования всей цепочки файлов в вашей оперативе, посредством создания дампа и дальнейшего его анализа. Сайт использует свои облачные технологии и методы (а не привычный нищий скантайм, который уже обходит любой крипт чуть ли не за 5 долларов), что усложняет жизнь вашему вирусу, который достаточно хорошо скрыт. Вид главной страницы сайта: Регистрация на сайте довольно простая, поэтому объяснять я ее не буду, все делается достаточно просто по этой ссылке: https://analyze.intezer.com/create-account В чем же основная суть данного сайта? Данный проект предоставляет нам доступ к утилите, которая легко, сканируя всю память на своих виртуальных машинах, посредством анализа, определяет, как ведет себя файл и выявляет в нем угрозу, причем, файл определяет также и DLL, которые могут скрыто инжектить себя в безобидные процессы. Endpoint Analyze: 1) Переходим по этой ссылке https://analyze.intezer.com/scan?tab=endpoint 2) Нажимаем на кнопку Scan Endpoint 3) Нас перекидывает на следующую страницу: *Как же все это работает? Сканирование: Сканер собирает работающий код из памяти и отправляет его в Intezer Analyze. Сканирование занимает примерно пять-десять минут. Первое сканирование может занять больше времени. Обратите внимание: сканер собирает только исполняемый код, а не ********* или любые другие данные, которые не являются двоичным кодом. Анализ: Собранные модули анализируются с помощью технологии Genetic Malware Analysis. Просмотр результатов: Система предоставляет отчет об анализе конечной точки4) Скачиваем Endpoint Scanner по кнопке Итак, перейдем к основной сути, мы рассмотрим все на примере угрозы майнера, который скрывается при открытии задач, можно заметить, что при открытии особой нагрузки в диспетчере задач не наблюдается, следовательно, создается чувство, что все безопасно, но мы скачаем и запустим нашу утилиту. 5) После установки у нас есть такой файл 6) Запускаем его, затем появляется такая консоль 7)Заходим на https://analyze.intezer.com/account-details и жмем кнопку generate api key 8) Берем и вставляем его в программу и видим, что все работает. 9) Затем переходим по этой ссылке https://analyze.intezer.com/history?tab=endpoint И видим свой анализ 10) Анализируем! 11) Как видите, это склейка малваря Amadey, который был внедрен в системный процесс conhost, плюсом еще одного неизвестного файла ss31, хотя казалось, что вроде как диспетчер задач чистый. 12) Тут показывается полная информация о нем (просто кликните на процесс), где и как файл хранится, что он пытался делать, как взаимодействовал На этом статья окончена, спасибо за чтение, надеюсь, что это будет как-то да полезно вам. ******* У тех, у кого темпайл не работает, используйте вот этот сервис с обновленными доменами почт - https://tmailor.com/ru
Ruinerlife, что за бред ты сейчас написал, эта компания имеет кучу партнеров, в том числе из разряда мировых лидеров, плюсом сканер берет только дамп активных приложений, папки, итп не сканирует
MoLd0Y, потому что в пути, где хранится сканер есть русские символы, перенеси сканер на диск C и создай папку с любым названием строго на английском и запусти
Всегда пользуюсь пиратским софтом и скачиваю всякую дичь. Но как показывает приложение либо у меня вирус за 10000000$ который не детектится, либо я везунчик. Создателю темы *Интересная идея для видео на YouTube*
Полезная штука. Только если бы еще была возможность юзать софт после 14 дней, а то у меня уже не идет :С
inletah, в общем, нашёл я обход, нужно удалить файлы в том месте, где запускался intezer: следующие, intezer64.exe intezer.exe и папку лог, затем создать новый акк и запустить сканнер и он пройдет)
UMBRELLA_CORP, еще один появился, если ты не доверяешь им - не запускай софт, какая нахуй разница, ты можешь тому же Билл Гейтсу предъявить, что он собирает у тебя через телиметрию в своей винде, опять же, интезер - большая компания, твои 200 рублей на **** им не нужны
Нормальная штука вроде как хаха . Вердикт Unknown почти на все повесило, хотя конкретно процесс, расположение и тд определило.
kekch127, trusted процессы - это в основном системные процессы, которые имеют подтвержденную подпись, Остальные - драйверы итп, которые не имеют основной подписи, ты можешь на нажать процесс и узнать подробнее компанию, которая его сделала, как и на скрине подставлено\
blokedlord, тут не в редакторе реестра дело, скорее всего у тебя учетка ограничена, либо что то лочит процесс, ну или в винде
Doklsi, у него винда 7 стоит о чем ты мб под системные требования софт не подходит спасибо за сканер кстати вреденос по инжекчущая к процессу системный очень скрытный а этот помогает разоблачить это
dirtyoff, выше уже описывал проблему, в пути к твоему файлу содержатся русские символы, перенеси на диск c создай там папку на английском строго и все заработает