Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
– это несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
В этой заметке будет рассказано о
Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.
Я рассмотрю запуск и анализ результатов на Windows.
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
– простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатна, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. На данный момент программа активно развивается и постоянно пополняется новыми сигнатурами.Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.
Я рассмотрю запуск и анализ результатов на Windows.
Скачайте последний выпуск программы с
После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всегокомпьютера.
Если вы не доверяете исполнимым файлам, то на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всегокомпьютера.
Если вы не доверяете исполнимым файлам, то на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
программы описано, как самостоятельноскомпилировать её из исходного кода.В первую очередь, нужно обращать внимание на сообщения, выделенные красным:
Посмотреть вложение 29532
В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).
Далее следует обратить внимание на жёлтые предупреждения:
Посмотреть вложение 29533
На первом сркиншоте – найден инструмент для восстановления
Найдена программа для
Посмотреть вложение 29534
Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.
Здесь:
Посмотреть вложение 29535
подозрительный владелец процесса (возможно, проблема в кириллице).
Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этомскриншоте подключения работающего веб-браузера:
Посмотреть вложение 29536
Далее Tor и приложение для VoIP:
Посмотреть вложение 29537
Посмотреть вложение 29538
В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.
Далее пример исполнимого файла,который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательновредоносные файлы, но на них стоит обратить внимание:
Посмотреть вложение 29539
Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:
Посмотреть вложение 29540
Программа нашла исполнимый файл
Посмотреть вложение 29541
Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):
Посмотреть вложение 29542
Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):
Notice:
FILE: C:\Users\Alex\Downloads\INFO_0323310510_alexey\9806.doc SCORE: 40 TYPE: OLE SIZE: 90112
FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 /
MD5:31746eb6e63d4d3dc913121b0a4f3146
SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76
SHA256:e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 08:20:49 2017 MODIFIED: Tue Jan 17 06:05:01 2017 ACCESSED: Tue Jan 17 08:20:49 2017
REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros
Посмотреть вложение 29532
В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).
Далее следует обратить внимание на жёлтые предупреждения:
Посмотреть вложение 29533
На первом сркиншоте – найден инструмент для восстановления
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Найдена программа для
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
:Посмотреть вложение 29534
Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.
Здесь:
Посмотреть вложение 29535
подозрительный владелец процесса (возможно, проблема в кириллице).
Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этомскриншоте подключения работающего веб-браузера:
Посмотреть вложение 29536
Далее Tor и приложение для VoIP:
Посмотреть вложение 29537
Посмотреть вложение 29538
В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.
Далее пример исполнимого файла,который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательновредоносные файлы, но на них стоит обратить внимание:
Посмотреть вложение 29539
Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:
Посмотреть вложение 29540
Программа нашла исполнимый файл
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
:Посмотреть вложение 29541
Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):
Посмотреть вложение 29542
Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):
Notice:
FILE: C:\Users\Alex\Downloads\INFO_0323310510_alexey\9806.doc SCORE: 40 TYPE: OLE SIZE: 90112
FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 /
MD5:31746eb6e63d4d3dc913121b0a4f3146
SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76
SHA256:e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 08:20:49 2017 MODIFIED: Tue Jan 17 06:05:01 2017 ACCESSED: Tue Jan 17 08:20:49 2017
REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros