Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 55555555555577777777777
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from ^.-*
Как работает хуйня от рейза.
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему