ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров (1 Viewer)

[X-Shar]

Программа разработанная для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Обнаруживает и приостанавливает вредоносные процессы. Запускает удаление заблокированных папок через список контроля доступа на вкладке безопасность. При нахождении каких либо подозрительных или вредоносных объектов требуется подтверждение на запуск автоматической очистки.

Основан на Miner Killer.

• Улучшен процесс сканирования процессов;
• Добавлено статическое сканирование каталогов;
• Добавлена функция автоматической очистки от вредоносных каталогов;
• Уничтожение вредоносных процессов (в том числе помеченные как критические)
• Сканирование вредоносных ключей реестра и т.д...

Для запуска требуется NET Framework 4.5 и выше.

Ссылка на гитхаб (Можно ознакомиться с кодом программы):GitHub - BlendLog/MinerSearch: Program designed for search and kill silent miners

Скачать бинарник можно здесь:MinerSearch/MinerSearch/Release at master · BlendLog/MinerSearch

Автор:@Spectrum735

 

[Spectrum735]

Ого, неожиданно) Благодарю!

 

[X-Shar]

Ого, неожиданно) Благодарю!

Код глянул всё норм.

Но я-бы ещё в дополнение к "эвристики" riskLevel проверял контрольные суммы файла, MD5 например...

Ну тут можно либо базу создать, вредоносных программ.
Либо создать базу легитимных программ, можно даже проверку цифровой подписи сделать.)

Ну это так, если будешь дорабатывать.

 

[X-Shar]

Если делать базу легитимных программ, то лучше проверять цифровую подпись.
Т.к. хеши могут-быть разные.

 

[Spectrum735]

Если делать базу легитимных программ, то лучше проверять цифровую подпись.
Т.к. хеши могут-быть разные.

Только хотел написать) Были мысли по поводу процерок цифровой подписи, хешей md5, но подумал, что при выходе обновлений чего-нибудь хеш поменяется

 

[Spectrum735]

Ещё были мысли прикрутить скан по API вирустотала, но стоит ли. А то будет выносить какой-нибудь кмс)

 

[X-Shar]

Ещё были мысли прикрутить скан по API вирустотала, но стоит ли. А то будет выносить какой-нибудь кмс)

Думаю что можно добавить как базу вредоносов (MD5 хеш), так и базу легитимных программ, проверка цифровой подписи.

Но это если будешь поддерживать, т.к. базы нужно-будет пополнять.

Либо закодить, что-бы удобно было кому-то пополнять базы.

Можно даже потом на форумах просить сообщества пополнять базы и помочь в доработке.

Думаю не плохая идея получилась.)

 

[X-Shar]

Такая мини тулза для лечения от майнеров и возможно других вредоносов, прикольно!)

 

[Spectrum735]

Такая мини тулза для лечения от майнеров и возможно других вредоносов, прикольно!)

Да) Релизный бинарник получается около ~50 КБ на данный момент. Аля мини-avz, сам avz устарел я считаю. Его юзают больше для написания скриптов, а как мы знаем, не все к этому готовы. Для простого обывателя чем проще, тем лучше.

 

[Spectrum735]

Есть небольшая проблема: встречал экземпляры майнеров, которые помимо своей "деятельности" дополнительно используют ring3 руткит для своего сокрытия. Скрывается как нагрузка на ЦП, так и видимость файлов, записей в реестре и планировщике задач. Конечно встретить такой майнер большая редкость, но они всё же есть. Нет идей как этому противодействовать?