Как удалить MBRFilter

Три года назад я писал, как можно защитить MBR(Master Boot Record) вашего ПК от изменений вирусом NotPetya. С того времени защищать MBR научились, пожалуй, все антивирусы и не только. У меня MBR защищает еще и Acronis True Image 2020 (мелочь, а приятно).

На данный момент необходимости в этом фильтре у меня нет и я решил его удалить. Иногда нужно записать флешку для Raspberry Pi или обновления БИОСа, а из-за этого фильтра этого сделать нельзя.

Добавление фильтра производится записью его в реестр в ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}\UpperFilters.

На чистой системе ветка реестра может выглядеть так:

MBRFilter-example

 

Читать остальную часть заметки »

Теги: , , , , , , , , , , , ,

Скрытие кода, метод 10: почти стеганография

Получил от клиента жалобу, что антивирус ругается на… картинки! Сначала я проверил все файлы .htaccess, ничего подозрительного. Затем сами файлы картинок (jpg) командой file – нормальные файлы изображений в формате JPEG. Затем открыл файл (по ссылке) в браузере – обычная картинка (мой антивирус не проверяет изображения на предмет вирусов, а зачем?). Бред какой-то… Тогда я открыл файл в текстовом редакторе – ух ты! А вот и вредительский код:

eval(base64_decode('aWYg...kpO30='));

Что этот код делает в графическом файле? Как он туда попал?

Технические детали

Сайт раньше регулярно взламывали (старый движок Joomla – это зло), после очередного взлома я просто заблокировал все .htaccess- и php-файлы для записи или изменений, обновил плагин mce и взломы прекратились. Последний взлом был года два назад. Примерно в то же время специалист компании Sucuri обнаружил новый вид бэкдоров, скрытый в изображениях.

Читать остальную часть заметки »

Теги: , , , , , , , ,