Участник
- Статус
- Оффлайн
- Регистрация
- 27 Янв 2021
- Сообщения
- 1,178
- Реакции
- 206
Как работает хуйня от рейза.
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
