1 Тема від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Тема: Троян в простенькому коді. Звідки береться?

Є певний простенький код, конвертує символ або рядок символів в hex-значення.

код прикладу
#include <iostream>
#include <string>
#include <sstream>
#include <iterator>

using std::cin; using std::cout; using std::endl;
using std::string; using std::hex;

int main(){
    string s1;
    //string s2;
    
    cout << "Enter a character or string of characters" << endl;
    cin >> s1;

    cout << "string: " << s1 << endl;
    cout << "hexval: ";
    for (const auto &item : s1) {
        cout << hex << int(item);
    }
    cout << "\n" <<endl;
    cout << "Press any key to exit" << endl;
    system("pause");
    
    return EXIT_SUCCESS;
}

На етапі збирання та виконанні в середовищі розробки все добре.
Середовище: Dev-C++.
Компілятор: MinGW64 32-bit.

А от як вже зібраний виконавчий файл запускаю,наприклад з флешки, захисник лається на Wacatac.B!ml. Якщо цей файл запхати в архів, тоді лайка на архів -- Wacatac.H!ml.
Звідки береться той троянець?

Спочатку гадав що то через зайву змінну string s2;. Закоментував, ситуація не змінилася.
Припускаю три варіанти:
1 -- заражено компілятор,
2 -- якась фігня з кодом (мало ймовірно),
3 -- заражена флешка (сканування не дало результату виявлення).

2 Відповідь від reverse2500

  • reverse2500
  • reverse2500
  • Я діск С на троянському коні
  • Поза форумом
  • Звідки: UA Львів
  • Дата реєстрації: 08.07.2014
  • Повідомлень: 2 740
    • Репутація: 1317

Re: Троян в простенькому коді. Звідки береться?

може цей троян є у вас на ПК і він заражає всі ЕХЕ

reverse2500 вебсайт

3 Відповідь від Droid 77 Востаннє редагувалося Droid 77 (26.05.2023 14:51:10)

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Була така думка. Та сканування ПК штатним захисником не дало результату.

P. S.
Якщо припустити, поганець засів десь в системі. Штатні засоби його не знаходять. Як його виявити та нейтралізувати без повного знесення системи?

4 Відповідь від koala Востаннє редагувалося koala (26.05.2023 15:36:27)

  • koala
  • koala
  • Лінива тваринка
  • Поза форумом
  • Дата реєстрації: 01.05.2013
  • Повідомлень: 15 321
    • Репутація: 13065

Re: Троян в простенькому коді. Звідки береться?

А на virustotal файл завантажувати не пробували? Одразу зрозумієте, чи справді вірус, чи хибне спрацювання.
Якщо вірус, то поставте якийсь безкоштовний антивірус (avast, mcafee, panda, bitdefender) і проскануйте систему. Бажано в безпечному режимі.

Droid 77 написав:

Спочатку гадав що то через зайву змінну string s2;

Ну це вже перебір, вірусні сигнатури так не з'являються.

koala вебсайт

5 Відповідь від wander

  • wander
  • wander
  • Replace Team
  • Поза форумом
  • Звідки: No-man's land
  • Дата реєстрації: 28.02.2019
  • Повідомлень: 1 201
    • Репутація: 1126

Re: Троян в простенькому коді. Звідки береться?

Defender має його знаходити, якщо вірити Майкрософтам.
Яке сканування ви проводили штатним захисником? Швидке чи повне сканування? Якщо лише швидке, то зробіть ще повне.
Якщо проблема залишається, то можливо Defender ще раніше виявив його та видалив, а ті сповіщення на Wacatac є false positive. Таке може бути. Ще можете прогнати систему через Microsoft Safety Scanner. Якщо і він нічого не знайде, тоді подивіться по історії захисника, можливо в логах десь промайне цей Wacatac, якщо так, то видаліть його з історії, щоб антивірус більше помилково не лаявся.

Як почистити логи

  1. Open File Explorer, and on the View Tab, check the box for Hidden Items

  2. Then navigate through this path: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

  3. Open the Service folder. There you should see a folder named DetectionHistory and a History.log file

  4. Delete the DetectionHistory folder and the History.log file

Not to worry, Windows rebuilds Detection History when it is needed next.

6 Відповідь від koala

  • koala
  • koala
  • Лінива тваринка
  • Поза форумом
  • Дата реєстрації: 01.05.2013
  • Повідомлень: 15 321
    • Репутація: 13065

Re: Троян в простенькому коді. Звідки береться?

Н.м.в., шкідники зараз значною мірою збираються з готових фрагментів, експлойтів і т.д., а відтак, коли антивірус щось виявляє, це може бути насправді зовсім інша загроза, просто шматок коду був спільний. Те, що в файл дописалося щось знайоме, зовсім не означає, що те, що розгорнулося на компі, буде знайомим, там будуть зовсім інші частини розпаковані.
Але в цілому трояни - це програми, які передаються цілими файлами, а не дописуються в інші програми. Тобто це точно не оригінальний троян. Я б поки що ставив на хибнопозитивний результат.

koala вебсайт

7 Відповідь від Droid 77 Востаннє редагувалося Droid 77 (26.05.2023 15:51:30)

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Цитата повідомлення
wander написав:

Defender має його знаходити, якщо вірити Майкрософтам.
Яке сканування ви проводили штатним захисником? Швидке чи повне сканування? Якщо лише швидке, то зробіть ще повне.
Якщо проблема залишається, то можливо Defender ще раніше виявив його та видалив, а ті сповіщення на Wacatac є false positive. Таке може бути. Ще можете прогнати систему через Microsoft Safety Scanner. Якщо і він нічого не знайде, тоді подивіться по історії захисника, можливо в логах десь промайне цей Wacatac, якщо так, то видаліть його з історії, щоб антивірус більше помилково не лаявся.

Як почистити логи

  1. Open File Explorer, and on the View Tab, check the box for Hidden Items

  2. Then navigate through this path: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

  3. Open the Service folder. There you should see a folder named DetectionHistory and a History.log file

  4. Delete the DetectionHistory folder and the History.log file

Not to worry, Windows rebuilds Detection History when it is needed next.

Виконував два рази швидке сканування. Ніц не знайшлося.
Чому два рази. Виконано швидке сканування, наступного дня при старті системи було виявлено якусь пакость в ОЗП, запропоновано перезавантажити ПК. Перезавантажив, просканував вдруге. Ніц немає.
Просканував повне сканування, теж ніц немає.
Як глянути історію захисника?

8 Відповідь від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

koala написав:

Н.м.в., шкідники зараз значною мірою збираються з готових фрагментів, експлойтів і т.д., а відтак, коли антивірус щось виявляє, це може бути насправді зовсім інша загроза, просто шматок коду був спільний. Те, що в файл дописалося щось знайоме, зовсім не означає, що те, що розгорнулося на компі, буде знайомим, там будуть зовсім інші частини розпаковані.
Але в цілому трояни - це програми, які передаються цілими файлами, а не дописуються в інші програми. Тобто це точно не оригінальний троян. Я б поки що ставив на хибнопозитивний результат.

Та тут хто зна що відбувається...?
Файли були скомпільовані в той день на флешку і на зовнішній hdd. Троян там і там в одних і тих самих файлах.
Сьогодні збираю теж саме, поки все нормально.

9 Відповідь від wander

  • wander
  • wander
  • Replace Team
  • Поза форумом
  • Звідки: No-man's land
  • Дата реєстрації: 28.02.2019
  • Повідомлень: 1 201
    • Репутація: 1126

Re: Троян в простенькому коді. Звідки береться?

Droid 77 написав:

Як глянути історію захисника?

У налаштуваннях захисника, там має бути опція Protection history.

Прихований текст

https://cdn.mos.cms.futurecdn.net/RYnnb26ZX7rzuWgLDGfP5Z-970-80.jpg.webp

На всякий, все ж дійсно скористайтесь virustotal та Microsoft Safety Scanner, перш ніж ставити якийсь інший безплатний антивірус. Якщо нічого не допоможе тоді вже ставте.

10 Відповідь від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Дякую за пораду. Та оте Microsoft Safety Scanner застаріле. Це як секс з бабцею, час витрачаєш, а задоволення ніц.
Там підписи 2019-го року.

11 Відповідь від reverse2500

  • reverse2500
  • reverse2500
  • Я діск С на троянському коні
  • Поза форумом
  • Звідки: UA Львів
  • Дата реєстрації: 08.07.2014
  • Повідомлень: 2 740
    • Репутація: 1317

Re: Троян в простенькому коді. Звідки береться?

спробуйте програму sandboxie. Запустіть файл в ізольованому середовищі

reverse2500 вебсайт

12 Відповідь від Droid 77 Востаннє редагувалося Droid 77 (26.05.2023 18:10:01)

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Було би не погано знати де шукати.
Бо ті файли де був той поганець вже видалено. А от де він є, невідомо.

13 Відповідь від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Міг бути варіант:
-- щось десь шастав в мережі;
-- якийсь поганець засів в ОЗП, записався в файл підкачки;
-- наробив шкоди;
-- шкоду зафіксовано;
-- запропоновано перезавантаження;
-- поганець десь заховався, та навчається далі ...

Таке можливо?

14 Відповідь від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Звісно то вже не троян я чев'ячок, та все-ж. Може бути таке?

15 Відповідь від reverse2500

  • reverse2500
  • reverse2500
  • Я діск С на троянському коні
  • Поза форумом
  • Звідки: UA Львів
  • Дата реєстрації: 08.07.2014
  • Повідомлень: 2 740
    • Репутація: 1317

Re: Троян в простенькому коді. Звідки береться?

в sanboxie ви побачите в ізольованому середовищі які фали було створено

reverse2500 вебсайт

16 Відповідь від koala

  • koala
  • koala
  • Лінива тваринка
  • Поза форумом
  • Дата реєстрації: 01.05.2013
  • Повідомлень: 15 321
    • Репутація: 13065

Re: Троян в простенькому коді. Звідки береться?

Повністю виключати нічого не можна.
Що зрештою VirusTotal каже?

koala вебсайт

17 Відповідь від ur_naz

  • ur_naz
  • ur_naz
  • Користувач
  • Поза форумом
  • Дата реєстрації: 19.06.2016
  • Повідомлень: 1 743
    • Репутація: 493

Re: Троян в простенькому коді. Звідки береться?

який антивір? у деяких є хибні виявлення в додатках  зібраних мінгв

18 Відповідь від Droid 77

  • Droid 77
  • Droid 77
  • Користувач
  • Поза форумом
  • Звідки: UA
  • Дата реєстрації: 17.01.2020
  • Повідомлень: 1 221
    • Репутація: 299

Re: Троян в простенькому коді. Звідки береться?

Отже повне сканування таки дало результат. Були виявлені та видалені поганці в декількох файлах.
В різних програмах. Файли видалені, програми перевстановлені.
Виходить що ПК був заражений, і заражалися екзешники.
Зараз ніби все норм.

19 Відповідь від HetmanNet

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 690
    • Репутація: 2461

Re: Троян в простенькому коді. Звідки береться?

Droid 77 написав:

Була така думка. Та сканування ПК штатним захисником не дало результату.

P. S.
Якщо припустити, поганець засів десь в системі. Штатні засоби його не знаходять. Як його виявити та нейтралізувати без повного знесення системи?

Сканували в якому режимі? Offline пробували?