1

Тема: Троян в простенькому коді. Звідки береться?

Є певний простенький код, конвертує символ або рядок символів в hex-значення.

код прикладу
#include <iostream>
#include <string>
#include <sstream>
#include <iterator>

using std::cin; using std::cout; using std::endl;
using std::string; using std::hex;

int main(){
    string s1;
    //string s2;
    
    cout << "Enter a character or string of characters" << endl;
    cin >> s1;

    cout << "string: " << s1 << endl;
    cout << "hexval: ";
    for (const auto &item : s1) {
        cout << hex << int(item);
    }
    cout << "\n" <<endl;
    cout << "Press any key to exit" << endl;
    system("pause");
    
    return EXIT_SUCCESS;
}

На етапі збирання та виконанні в середовищі розробки все добре.
Середовище: Dev-C++.
Компілятор: MinGW64 32-bit.

А от як вже зібраний виконавчий файл запускаю,наприклад з флешки, захисник лається на Wacatac.B!ml. Якщо цей файл запхати в архів, тоді лайка на архів -- Wacatac.H!ml.
Звідки береться той троянець?

Спочатку гадав що то через зайву змінну string s2;. Закоментував, ситуація не змінилася.
Припускаю три варіанти:
1 -- заражено компілятор,
2 -- якась фігня з кодом (мало ймовірно),
3 -- заражена флешка (сканування не дало результату виявлення).

2

Re: Троян в простенькому коді. Звідки береться?

може цей троян є у вас на ПК і він заражає всі ЕХЕ

3 Востаннє редагувалося Droid 77 (26.05.2023 14:51:10)

Re: Троян в простенькому коді. Звідки береться?

Була така думка. Та сканування ПК штатним захисником не дало результату.

P. S.
Якщо припустити, поганець засів десь в системі. Штатні засоби його не знаходять. Як його виявити та нейтралізувати без повного знесення системи?

4 Востаннє редагувалося koala (26.05.2023 15:36:27)

Re: Троян в простенькому коді. Звідки береться?

А на virustotal файл завантажувати не пробували? Одразу зрозумієте, чи справді вірус, чи хибне спрацювання.
Якщо вірус, то поставте якийсь безкоштовний антивірус (avast, mcafee, panda, bitdefender) і проскануйте систему. Бажано в безпечному режимі.

Droid 77 написав:

Спочатку гадав що то через зайву змінну string s2;

Ну це вже перебір, вірусні сигнатури так не з'являються.

5

Re: Троян в простенькому коді. Звідки береться?

Defender має його знаходити, якщо вірити Майкрософтам.
Яке сканування ви проводили штатним захисником? Швидке чи повне сканування? Якщо лише швидке, то зробіть ще повне.
Якщо проблема залишається, то можливо Defender ще раніше виявив його та видалив, а ті сповіщення на Wacatac є false positive. Таке може бути. Ще можете прогнати систему через Microsoft Safety Scanner. Якщо і він нічого не знайде, тоді подивіться по історії захисника, можливо в логах десь промайне цей Wacatac, якщо так, то видаліть його з історії, щоб антивірус більше помилково не лаявся.

Як почистити логи
  1. Open File Explorer, and on the View Tab, check the box for Hidden Items

  2. Then navigate through this path: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

  3. Open the Service folder. There you should see a folder named DetectionHistory and a History.log file

  4. Delete the DetectionHistory folder and the History.log file

Not to worry, Windows rebuilds Detection History when it is needed next.

6

Re: Троян в простенькому коді. Звідки береться?

Н.м.в., шкідники зараз значною мірою збираються з готових фрагментів, експлойтів і т.д., а відтак, коли антивірус щось виявляє, це може бути насправді зовсім інша загроза, просто шматок коду був спільний. Те, що в файл дописалося щось знайоме, зовсім не означає, що те, що розгорнулося на компі, буде знайомим, там будуть зовсім інші частини розпаковані.
Але в цілому трояни - це програми, які передаються цілими файлами, а не дописуються в інші програми. Тобто це точно не оригінальний троян. Я б поки що ставив на хибнопозитивний результат.

7 Востаннє редагувалося Droid 77 (26.05.2023 15:51:30)

Re: Троян в простенькому коді. Звідки береться?

Цитата повідомлення
wander написав:

Defender має його знаходити, якщо вірити Майкрософтам.
Яке сканування ви проводили штатним захисником? Швидке чи повне сканування? Якщо лише швидке, то зробіть ще повне.
Якщо проблема залишається, то можливо Defender ще раніше виявив його та видалив, а ті сповіщення на Wacatac є false positive. Таке може бути. Ще можете прогнати систему через Microsoft Safety Scanner. Якщо і він нічого не знайде, тоді подивіться по історії захисника, можливо в логах десь промайне цей Wacatac, якщо так, то видаліть його з історії, щоб антивірус більше помилково не лаявся.

Як почистити логи
  1. Open File Explorer, and on the View Tab, check the box for Hidden Items

  2. Then navigate through this path: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

  3. Open the Service folder. There you should see a folder named DetectionHistory and a History.log file

  4. Delete the DetectionHistory folder and the History.log file

Not to worry, Windows rebuilds Detection History when it is needed next.

Виконував два рази швидке сканування. Ніц не знайшлося.
Чому два рази. Виконано швидке сканування, наступного дня при старті системи було виявлено якусь пакость в ОЗП, запропоновано перезавантажити ПК. Перезавантажив, просканував вдруге. Ніц немає.
Просканував повне сканування, теж ніц немає.
Як глянути історію захисника?

8

Re: Троян в простенькому коді. Звідки береться?

koala написав:

Н.м.в., шкідники зараз значною мірою збираються з готових фрагментів, експлойтів і т.д., а відтак, коли антивірус щось виявляє, це може бути насправді зовсім інша загроза, просто шматок коду був спільний. Те, що в файл дописалося щось знайоме, зовсім не означає, що те, що розгорнулося на компі, буде знайомим, там будуть зовсім інші частини розпаковані.
Але в цілому трояни - це програми, які передаються цілими файлами, а не дописуються в інші програми. Тобто це точно не оригінальний троян. Я б поки що ставив на хибнопозитивний результат.

Та тут хто зна що відбувається...?
Файли були скомпільовані в той день на флешку і на зовнішній hdd. Троян там і там в одних і тих самих файлах.
Сьогодні збираю теж саме, поки все нормально.

9

Re: Троян в простенькому коді. Звідки береться?

Droid 77 написав:

Як глянути історію захисника?

У налаштуваннях захисника, там має бути опція Protection history.

Прихований текст

https://cdn.mos.cms.futurecdn.net/RYnnb26ZX7rzuWgLDGfP5Z-970-80.jpg.webp

На всякий, все ж дійсно скористайтесь virustotal та Microsoft Safety Scanner, перш ніж ставити якийсь інший безплатний антивірус. Якщо нічого не допоможе тоді вже ставте.

10

Re: Троян в простенькому коді. Звідки береться?

Дякую за пораду. Та оте Microsoft Safety Scanner застаріле. Це як секс з бабцею, час витрачаєш, а задоволення ніц.
Там підписи 2019-го року.

11

Re: Троян в простенькому коді. Звідки береться?

спробуйте програму sandboxie. Запустіть файл в ізольованому середовищі

12 Востаннє редагувалося Droid 77 (26.05.2023 18:10:01)

Re: Троян в простенькому коді. Звідки береться?

Було би не погано знати де шукати.
Бо ті файли де був той поганець вже видалено. А от де він є, невідомо.

13

Re: Троян в простенькому коді. Звідки береться?

Міг бути варіант:
-- щось десь шастав в мережі;
-- якийсь поганець засів в ОЗП, записався в файл підкачки;
-- наробив шкоди;
-- шкоду зафіксовано;
-- запропоновано перезавантаження;
-- поганець десь заховався, та навчається далі ...

Таке можливо?

14

Re: Троян в простенькому коді. Звідки береться?

Звісно то вже не троян я чев'ячок, та все-ж. Може бути таке?

15

Re: Троян в простенькому коді. Звідки береться?

в sanboxie ви побачите в ізольованому середовищі які фали було створено

16

Re: Троян в простенькому коді. Звідки береться?

Повністю виключати нічого не можна.
Що зрештою VirusTotal каже?

17

Re: Троян в простенькому коді. Звідки береться?

який антивір? у деяких є хибні виявлення в додатках  зібраних мінгв

18

Re: Троян в простенькому коді. Звідки береться?

Отже повне сканування таки дало результат. Були виявлені та видалені поганці в декількох файлах.
В різних програмах. Файли видалені, програми перевстановлені.
Виходить що ПК був заражений, і заражалися екзешники.
Зараз ніби все норм.

19

Re: Троян в простенькому коді. Звідки береться?

Droid 77 написав:

Була така думка. Та сканування ПК штатним захисником не дало результату.

P. S.
Якщо припустити, поганець засів десь в системі. Штатні засоби його не знаходять. Як його виявити та нейтралізувати без повного знесення системи?

Сканували в якому режимі? Offline пробували?