Forwarded from ^.-*
Как работает хуйня от рейза.
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.
---
Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.
---
Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
300 Milliseconds to Admin: Mastering DLL Hijacking and Hooking to Win the Race.
👾 CVE-2025-24076 and CVE-2025-24994
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Safely manage the unloading of DLLs that have been hooked into a process.
Please open Telegram to view this post
VIEW IN TELEGRAM
Bypassing Windows Kernel Mitigations.
✨ Part 0 - Deep Dive into KASLR Leaks Restriction
✨ Part 1 - Overview
✨ Part 2 - CVE-2024-21338
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
wtf is a distributed, code-coverage guided, customizable, cross-platform snapshot-based fuzzer designed for attacking user and / or kernel-mode targets running on Microsoft Windows and Linux user-mode (experimental!).
Please open Telegram to view this post
VIEW IN TELEGRAM