سلام دوست عزیز ممنون از وقتی ک گذاشتی و تست کردی و همینطور ناظر انجمن سافت 98 ولی این راه حل داره.
این پروسه ای ک اسشمو بردی Windows based script host اینا از پروسه های اسیب پذیر ویندوزن این پروسه ها زیادن این یکیشه
کد:
attrib.exe*auditpol.exe
*bash.exe
*bcdboot.exe
*bcdedit.exe
*bitsadmin*
*bootcfg.exe
*bootim.exe
*bootsect.exe
*ByteCodeGenerator.exe
*cacls.exe
*cdb.exe
*csc.exe
*csi.exe
*debug.exe
*DFsvc.exe
*diskpart.exe
*dnx.exe
*eventvwr.exe
*fsi.exe
*hh.exe
*IEExec.exe
*iexplore.exe
*iexpress.exe
*ilasm.exe
*InstallUtil*
*InstallUtil.exe
*journal.exe
*jsc.exe
*kd.exe
*lxssmanager.dll
*mmc.exe
*mrsa.exe
*MSBuild.exe
*mshta.exe
*mstsc.exe
*netsh.exe
*netstat.exe
*ntsd.exe
*odbcconf.exe
*powershell.exe
*powershell_ise.exe
*PresentationHost.exe
*quser.exe
*rcsi.exe
*reg.exe
*RegAsm*
*regini.exe
*Regsvcs*
*regsvr32.exe
*RunLegacyCPLElevated.exe
*runonce.exe
*scrcons.exe
*script.exe
*sdbinst.exe
*set.exe
*setx.exe
*Stash*
*syskey.exe
*systemreset.exe
*takeown.exe
*taskkill.exe
*UserAccountControlSettings.exe
*utilman.exe
*vbc.exe
*vssadmin.exe
*windbg.exe
*wmic.exe
*xcacls.exe
این لیستم حدود 2 ماه گشتم تا جمع کردم خودم تو اینترنتو...بازم هستن..
چند راه مختلف داره واسه رفع این مشکل:
ساده ترین رایگان و کاربردی ترین اینکه شما از کاز بندازی مثلا wscript.exe
ک تقریبا 80 درصد مشکلت حل شده یه با صورت دستی از تو ریجیستری غیر فعال کنیش یا اینکه ی سری نرم افزار هست واسه اینکار مثلا یکیش :
کد:
http://www.site2unblock.com/win10-security-plus/
یکی دیگه اینکه از SRP استفاده کنی ک خب ساده نیست و تو ایران هم توجهی بهش نشده تا حالا و هیچ مطلب یا اموزشی نیست در موردش
یکی دیگه اینکه از نرم افزار هیتمن پرو الرت استفاده کنی ک قابلیت شناسایی این هارو داره مث همون فایل وردی ک گفتی هیتمن پرو الرت میتونه تقریبا 80 درصد اینارو بلاک کنه
نقل قول:
یادمون باشه که فایل های مخرب js و vbs از دست انتی ویروس ها بدور هستند و در سیستمی کاملا امن خودشون را ران میکنند و رفتار تخریبی به جا میگذارند.
این درست نیس این اسکریپت هایی ک میگی کسپر اسکای بیت دیفندر اف سکئور حتی ای وی جی شیلدهایی ک روش هست میتونه اینارو بلاک کنه چون من خودم دیدم تو انجمن مالوار تیپ
کسپر اسکای بیت دیفندر اف سکئور ای وی جی امسی سافت اینایی ک رفتار شناسی قوی ای دارن میتونن بلاکش کنن البته صد در صد نیست هیچ چیزی
نقل قول:
بعضی ها میگن وقتی js ران بشه رفتار شناسی شناسایی میکنه ولی اینگونه نیست،رفتار به فایل مطمئن وین اسکریپت ویندوز کاری نداره)
اینو الان ناظر انجمن سافت 98 گفته؟از کجا میگه؟اتفاقا رفتارش شناسایی اکثر انتی ویرس ها اونایی ک گفتم اینارو عمدتا شناساسس میکنه کسپر اسکای ک 99 درصد مطمعنم ب خاطر اینکه بیشتر اینا ی فایل exe دانلود میکنن یا اجرا میکنن حتی اگه نتونه تشخیص بده اون اسکریپت خطرناکه او فایل exe رو شناسایی میکنه.. یا همونwscript.exe اگه ماهیت بد افزاری داشته باشه میتونه تشخیص بده..
و من سندشم میتونم نشونت بدم انجمن مالوار تیپ کسایی ک تست کردن خودم هم چند باری مثلا اف سکئور رو تستکردم deepgaurd اش اینارو سریع بلاک میکنه
شما وقتی از اوست استفاده میکنی باید پروسه های اسیب پذیر رو خودت غیرفعال کنی مثل(powershell یا Windows Script Host)
تا این مشکل پیش نیاد اوست مثلا ضعف داره تو powershell ولی هیچ نرم افزاری امنیت 100 درصدی نمیده در ثانی ک رایگانه البته اگه شما فایروال داشته باشی رو سیستمت یا ی نرم افزار مثل بیو متر اگه ک ارتباط اینترنتی اون فایل نیاز داشته باشه یا بخواد به جایی وصل بشه شما سریع میفمی ی خبری هست و زود بلاک میکنی البته نه همشون نیاز به اینترنت ندارن واسه اجرا
شما کلا میتونی جاوا اسکریپت مروگرت رو غیرفعال کنی یا اینکه مروگرت رو در داخل سندباکس اجرا کنی ک ب مشکل خاصی نخوری. من ایرادی اینجا نمیبینم!
همینطور میتونی در داخل تنظمیات اوست Scan when opening": .js, .jse, .jsw, .bat, .cmd, .scr, .ps1, .vbs, .hta, .vbe, .wsf
اینارو خودت در قسمت scan when opening وارد کنی و معنیش اینه ک اوست وقتی شما این اسکریپت هارو باز کردی اول اسکنشون میکنه اگه امن بود اجازه اجرا میده ولیکن ک صد در صد نیس ممکنه از 10 تا 7 تاشو بفمه بقیه رو نه 3 تاش در بره همونطور ک گفتم هیچ نرم افزاری امنیت صد در صدی تضمین نمیکنه.
بهترین راه حل هم استفاده ازSRP یا نرم افزارهایی ک بر اساس اس ار پی درست شدن مثل APPGUARD ک خب گرونم هست و نرم افزاری ک توسط ارتش امریکا تایید شده و تو محیط نظایمی ازش استفاده میکنن..
یا اینکه کسپر بخری امسی سافت یا اوست رایگان داشته باشی با کومودو میکس کنی اینطوری سیستمت حفظه ! نگران هیچیم نیستی دیگه یا خیلی کارای دیگه ک تو این پست نمیگنجه.
من الان کومودورو پاک کردم درس تو خاطرم نیس کومودو همونطور ک قبلا گفتم شناسایی نداره شاید نتونه اینارو شناسایی کنه یا ویروس اسکپش قادر نباشه تشخیص بده اون اسکپریت رو ک امنه یا غیر امن خب مشخصه ضعیفه ولی اجازه الوده شدن سیستم رو هم نمیده این کاری ک این اقا کرده این بوده ک اجازه اجرای رو داده چ توقعی دیگه از کومودو هست ؟ ب خاطر همینه ک کومودو و نرم افزار های Default-Deny Protection باید اول یاد گرفته بشه بعد استفاده بشه
نقل قول:
کومودو بدست یک کاربر مبتدی باخت.
این حرفم درست نیس به چند دلیل یک اینکه کاربر اجازه اجرا فایل رو داده دوم کومودو کارش شناسایی نیس و نداره مازول شناسایییش ضعیفه و همینطور سنبداکس نشده اجرا شده!سوم اینکه اگه اون کاربر حواس پرت باشه و نحوه کار کومودورندونه و نفمه مسلما سیستمش الوده میشه چ بسا ک بهترین سیستم امنیتی دنیارو هم داشته باشی ولی مبتدی باشی سییستمت الوده میشه!اینجا کاربر باخته! ن محصول!
نقل قول:
بعدن از ایشون پرسیدم و متوجه شدم که هنگام تست کردن در تنظیمات ویروسکوپ تیک نظارت فقط بر برنامه های سندباکس شده رو برداشته بودند و با این وجود ویروسک....
توقع نباید داشته باشی از کومودو اینارو بلاک کنه!ی چیز سادس کومودو سندباکسه! شناساییی قوی ای نداره
نقل قول:
دلتان را خوش اینکه سیستم شما توسط انتی ویروسی که انتی باج گیر دارد و محافظت میکند،خوش نکنید چرا که با یک فایل js یا vbs سیستم قفل میشه
.
اینم ک گفتم بالا جوابشو کامل دادم
انجمن سافت 98!
محتوای مخفی: بازنشانی پیکربندی پرواکتیو به حالت کارخانه!
