Перейти к публикации
Absolute RP Lithium | Нет времени объяснять, просто жми ×

Вирусы в клиенте с лаунчера

Программист

Рекомендованные сообщения

Программист Новобранец

Программист

Опубликовано:
Опубликовано:

Вы в курсе, что в клиенте игры, который скачивается через ваш лаунчер, есть троян или что то типа того, что при запуске игры комп намертво блокируется, а антивирус начинает лечить активное заражение? Не удается открыть диспетчер задач, так как пользователь намертво перекрывается правами доступа!

Ссылка на комментарий
Программист Новобранец

Программист

Опубликовано:
  • Автор
Опубликовано: (изменено)

Creation of an Executable by an Executable

Detects the creation of an executable by another executable

Sigma Integrated Rule Set (GitHub) -


title: Creation of an Executable by an Executable
id: 297afac9-5d02-4138-8c58-b977bac60556
status: experimental
description: Detects the creation of an executable by another executable
references:
    - Malware Sandbox
author: frack113
date: 2022/03/09
modified: 2022/11/08
tags:
    - attack.resource_development
    - attack.t1587.001
logsource:
    product: windows
    category: file_event
detection:
    selection:
        Image|endswith: '.exe'
        TargetFilename|endswith: '.exe'
    filter_whitelist:
        Image:
            - 'C:\Windows\System32\msiexec.exe'
            - 'C:\Windows\system32\cleanmgr.exe'
            - 'C:\Windows\explorer.exe'
            - 'C:\WINDOWS\system32\dxgiadaptercache.exe'
            - 'C:\WINDOWS\system32\Dism.exe'
            - 'C:\Windows\System32\wuauclt.exe'
    filter_update:
        # Security_UserID: S-1-5-18
        # Example:
        #   TargetFilename: C:\Windows\SoftwareDistribution\Download\803d1df4c931df4f3e50a022cda56e88\WindowsUpdateBox.exe
        Image: 'C:\WINDOWS\system32\svchost.exe'
        TargetFilename|startswith: 'C:\Windows\SoftwareDistribution\Download\'
    filter_upgrade:
        Image: 'C:\Windows\system32\svchost.exe'
        TargetFilename|contains|all:
            # Example:
            #   This example was seen during windows upgrade
            #   TargetFilename: :\WUDownloadCache\803d1df4c931df4f3e50a022cda56e29\WindowsUpdateBox.exe
            - ':\WUDownloadCache\'
            - '\WindowsUpdateBox.exe'
    filter_windows_update_box:
        # This FP was seen during Windows Upgrade
        # ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s wuauserv
        Image|startswith: 'C:\WINDOWS\SoftwareDistribution\Download\'
        Image|endswith: '\WindowsUpdateBox.Exe'
        TargetFilename|startswith: 'C:\$WINDOWS.~BT\Sources\'
    filter_tiworker:
        Image|startswith: 'C:\Windows\WinSxS\'
        Image|endswith: '\TiWorker.exe'
    filter_programfiles:
        - Image|startswith:
            - 'C:\Program Files\'
            - 'C:\Program Files (x86)\'
        - TargetFilename|startswith:
            - 'C:\Program Files\'
            - 'C:\Program Files (x86)\'
    filter_defender:
        Image|startswith: 'C:\ProgramData\Microsoft\Windows Defender\'
    filter_windows_apps:
        TargetFilename|contains: '\Microsoft\WindowsApps\'
    filter_teams:
        Image|startswith: 'C:\Users\'
        Image|endswith: '\AppData\Local\Microsoft\Teams\Update.exe'
        TargetFilename|startswith: 'C:\Users\'
        TargetFilename|endswith:
            - '\AppData\Local\Microsoft\Teams\stage\Teams.exe'
            - '\AppData\Local\Microsoft\Teams\stage\Squirrel.exe'
    filter_mscorsvw:
        # Example:
        #   ParentCommandLine: "C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe" ExecuteQueuedItems /LegacyServiceBehavior
        #   Image: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
        #       TargetFilename: C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\4f8c-0\MSBuild.exe
        #       TargetFilename: C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\49bc-0\testhost.net47.x86.exe
        #       TargetFilename: C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\39d8-0\fsc.exe
        Image|startswith: 'C:\Windows\Microsoft.NET\Framework\'
        Image|endswith: '\mscorsvw.exe'
        TargetFilename|startswith: 'C:\Windows\assembly\NativeImages_'
    condition: selection and not 1 of filter_*
falsepositives:
    - Software installers
    - Update utilities
#Please contribute to FP to increase the level
level: low

Изменено пользователем Программист
Ссылка на комментарий
ᴀʀɴᴏʟᴅ ᴍᴇᴍᴏʀɪᴇs Магистр

ᴀʀɴᴏʟᴅ ᴍᴇᴍᴏʀɪᴇs

Опубликовано:
Опубликовано:
9 минут назад, Программист сказал:

Проверил все файлы, в которых может быть проблема, и оказалось, что в SAMPlauncher.exe есть вирус:

Снимок.JPG

Мда, понятно все. Хотят нам вирусов на комп засунуть, негодяи!!!

одиночество - это когда ты все еще ждешь её, но понимаешь, что она уже не придет.

Ссылка на комментарий
Hündin. Ментор

Hündin.

Опубликовано:
Опубликовано:
4 часа назад, Программист сказал:

Вы в курсе, что в клиенте игры, который скачивается через ваш лаунчер, есть троян или что то типа того, что при запуске игры комп намертво блокируется, а антивирус начинает лечить активное заражение? Не удается открыть диспетчер задач, так как пользователь намертво перекрывается правами доступа!

Блокируется намертво?никогда такого не было 

 
2022/8/13   0:8:54 Министр внутренних дел Kobe Sykes назначил Haddaway Sykes [2156023] лидером фракции Полиция Сан Фиерро
 2022/10/13   20:00:01  Министр внутренних дел Denzel Montero снял с Soprano Kaneko [2156023] лидерство фракции Полиция Сан-Фиерро [1/3 ; Блат]
 2022/12/8  9:37:55  Админ [A]Lamped_Marchetti [1376046] снял с Soprano_Kaneko [2156023] лидерство фракции Полиция Лас Вентурас не в сети
 2023/11/5  20:11:35  Админ [A]Lamped_Marchetti [1376046] назначил Soprano_Kaneko [2156023] лидером фракции Мэрия Лас Вентурас
 2023/11/6  0:0:12  Админ [A]Lamped_Marchetti [1376046] снял с Hundin_Reyes [2156023] лидерство фракции Мэрия Лас Вентурас

 

 

Ссылка на комментарий
gosha2008 Магистр

gosha2008

Опубликовано:
Опубликовано: (изменено)

это не совсем трояны
просто некоторые файлы внедряются во время игры 

хз как это обьяснить но это не вирусы

Я самп не обновляю с 2019 года и вполне всё в порядке) 

Изменено пользователем gosha2008

Самый великий игрок абсолюта. 

 

Ссылка на комментарий
  • 6 месяцев спустя...
ᴛɪᴍ ᴇᴅɪsᴏɴ Магистр

ᴛɪᴍ ᴇᴅɪsᴏɴ

Опубликовано:
Опубликовано:

Закрыто.

12 марта 2019 21:06:50 Админ Oskar Merkury [621177] назначил Tim Edison [2332222] лидером фракции Радиоцентр Лос-Сантос
13 августа 2021 21:01:53 Админ Jeffree Harrison [1723] назначил Tim Edison [205555] лидером фракции Радиоцентр Лос-Сантос
04 марта 2022 18:21:33 Министр СМИ Lucien Hanter [899192] назначил Tim Edison [2114444] лидером фракции Радиоцентр Сан-Фиерро
10 июля 2022 18:06:58 Министр СМИ Lawrence Disappear [141275] назначил Tim Edison [205555] лидером фракции Радиоцентр Лос-Сантос
01 марта 2023 19:08:42 Министр СМИ Роджер Ламбер [135190] назначил Tim Edison [2114444] лидером фракции Радиоцентр Лос-Сантос
25 марта 2023 21:15:23 Админ Djonio Hanter [522501] назначил Tim Edison [3900000] модератором раздела "Помощь"
28 июня 2023 19:44:29 Министр СМИ Den Reyes [2330] назначил Tim Edison [205555] лидером фракции Радиоцентр Лос-Сантос
27 декабря 2023 18:45:52 Министр СМИ Den Reyes [2330] назначил Tim Edison [205555] лидером фракции Радиоцентр Лос-Сантос

0cnbGhC.gif

Ссылка на комментарий
Гость
Эта тема закрыта для дальнейших сообщений.
Перейти к списку тем

  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу.
×
×
  • Создать...