ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров

X-Shar · 24.02.2023

Программа разработанная для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Обнаруживает и приостанавливает вредоносные процессы. Запускает удаление заблокированных папок через список контроля доступа на вкладке безопасность. При нахождении каких либо подозрительных или вредоносных объектов требуется подтверждение на запуск автоматической очистки.

Основан на Miner Killer.

Улучшен процесс сканирования процессов;
Добавлено статическое сканирование каталогов;
Добавлена функция автоматической очистки от вредоносных каталогов;
Уничтожение вредоносных процессов (в том числе помеченные как критические)
Сканирование вредоносных ключей реестра и т.д...

Для запуска требуется NET Framework 4.5 и выше.

Ссылка на гитхаб (Можно ознакомиться с кодом программы):

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Скачать бинарник можно здесь:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Автор:@Spectrum735

X-Shar · 24.02.2023

Spectrum735 сказал(а):
Есть небольшая проблема: встречал экземпляры майнеров, которые помимо своей "деятельности" дополнительно используют ring3 руткит для своего сокрытия.

Это ты про запись в реестре ?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows

Как вариант проверять, что за программы находятся в параметре AppInit_DLLs.

Особенно важны вот эти параметры:

RequireSignedAppInit_DLLs - Если единица, то будет процерка цифровой подписи указанных в AppInit_DLLs библиотек (Нужно проверить что не ноль).

LoadAppInit_DLLs - Разрешает загрузку библиотек в глобальные области (Тут вероятно тоже можно уведомление выдать, если установлено).

Также теоретически майнер может внедряться в какие-то процессы легитимных программ, тут тяжело уже будет обнаружить.

Spectrum735 · 24.02.2023

Понял. Про AppInit не знал. Буду иметь ввиду)

X-Shar сказал(а):
Также теоретически майнер может внедряться в какие-то процессы легитимных программ, тут тяжело уже будет обнаружить.

Тут он отрабатывает норм, он приостанавливает. Хотя он и не увидит какой процесс инициатор инжекта, даже простой RunPE.

X-Shar · 24.02.2023

Ну-да думаю достаточно проверить AppInit_DLLs - Но там могут-быть легальные программы, было время некоторые АВ туда вносили свои dll, сейчас незнаю, но это подозрительно, можно для начала просто уведомлять об этом, а в будущем можно валидность цифровой подписи проверять, также можно сделать проверку таких программ на вирустотал.

Установка LoadAppInit_DLLs тоже очень подозрительна.

Spectrum735 · 04.03.2023

Как вариант, можно отсеивать дальнейший скан процессов только по цифровой подписи. Если цифровой подписи нет, подрубаем доп. методы проверки, если есть, переходим к другому процессу, это должно значительно ускорить скан в рантайме. Но опять же возникает проблема внедренного кода в память легитимного процесса.

X-Shar · 05.03.2023

Spectrum735 сказал(а):
Как вариант, можно отсеивать дальнейший скан процессов только по цифровой подписи. Если цифровой подписи нет, подрубаем доп. методы проверки, если есть, переходим к другому процессу, это должно значительно ускорить скан в рантайме. Но опять же возникает проблема внедренного кода в память легитимного процесса.

Так а в текущей версии-же просто проверка по заданным путям, ну так-же просто цифровые подписи ещё проверять и нормально наверное будет.

Как понимаю в текущей версии нет-же проверки процессов, а просто в случае обнаружения идёт завершение процесса, в целом нормальный подход.

А если речь о рутките, то почти 100% если такой руткит попадется, там нужно будет удалять как запись так и сам файл, ну либо достаточно просто удалить запись и перезагрузить компьютер.)

Spectrum735 · 06.03.2023

Вот как раз в данный момент работаю над проверкой цифровой подписи. Заметил такую странность: почему винда говорит сертификат действителен, если у него истёк срок выдачи?

Вот пример из логов утилиты

Вот сертификаты браузера и виндового svchost.exe

То есть алгоритм проверки стандартными средствами .NET показывает больше правды. Как же так? Я понимаю, что сертификат ещё не показатель валидности, но это очень странно.

X-Shar · 06.03.2023

Spectrum735 сказал(а):
То есть алгоритм проверки стандартными средствами .NET показывает больше правды. Как же так? Я понимаю, что сертификат ещё не показатель валидности, но это очень странно.

А когда был создан файл, может файл был создан до 26.01.2023 года, тогда всё валидно.

Spectrum735 · 07.03.2023

X-Shar сказал(а):
А когда был создан файл, может файл был создан до 26.01.2023 года, тогда всё валидно.

файл был создан 4 ‎сентября ‎2022 ‎г., ‏‎16:24:22
А как это так? Я могу скопировать файл на рабочий стол к примеру, но он не потеряет валидность

X-Shar · 07.03.2023

Spectrum735 сказал(а):
файл был создан 4 ‎сентября ‎2022 ‎г., ‏‎16:24:22
А как это так? Я могу скопировать файл на рабочий стол к примеру, но он не потеряет валидность

Дата подписи файла должна-быть раньше истечения сертификата.

Если ты скопируешь файл с цифровой подписью без изменения, это будет новый файл, но т.к. содержимое файла не поменялось, то файл будет валидным.

Ну сам посуди зачем переподписывать файл, если на момент подписи сертификат был валидный и файл не менялся.)

X-Shar · 07.03.2023

Иначе ты установил условно систему, через пять-десять лет опять-же условно сертификат слетел, кто и как будет переподписывать системные файлы ?)

Обратная связь

(info@ru-sfera.pw)

Важная информация для всех!

ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров

X-Shar

:)

X-Shar

:)

Spectrum735

Просветленный

X-Shar

:)

Spectrum735

Просветленный

X-Shar

:)

Spectrum735

Просветленный

X-Shar

:)

Spectrum735

Просветленный

X-Shar

:)

X-Shar

:)