PhrozenSoft Shortcut Scanner
Dragokas
Very kind Developer
В продолжение обзора альтернативных сканеров ярлыков на наличие заражений,
рассмотрим сканер от PhrozenSoftware Shortcut Scanner 1.0, который вышел 11 января 2017 года.
Во-первых, заранее поблагодарим PhrozenSoft за появление ещё большего числа вирусов, распространяемых через ярлыки:
Как видим 1.0 и отсутствие приставок Alpha/beta указывает, что это релизная версия (мною тестировалась версия 1.0.6220.60021)
Доступна x32 и x64 битная версии. При этом, x32 не запускается на x64 ОС, выдавая предупреждение.
Вот полное описание утилиты с официального сайта компании:
One of them was already known and used by some hackers in their phishing campaigns. The second was recently discovered by our Security Researcher. We wrote two articles about the subject (see here and here) and these were received very positively in the IT-world and were circulated widely on social media networks, especially Twitter.
One of them was already known and used by some hackers in their phishing campaigns. The second was recently discovered by our Security Researcher. We wrote two articles about the subject (see here and here) and these were received very positively in the IT-world and were circulated widely on social media networks, especially Twitter.
Immediately after the release of our articles, we saw a significant increase in the use and spread of malicious applications that were exploiting Microsoft Windows Shortcuts.
Since we suspect that Microsoft will not apply a fix to this weakness in design in the near future, we have decided to create an application ourselves to detect and remove these malicious shortcuts.
Basically, this application works as a regular Antivirus Scanner: it will scan available attached storage Medias (Fixed Hard Drives and Removable Hard Drives) and lists all existing shortcuts.
For each and every shortcut our application will determine whether or not the shortcut is:
- Broken
- Suspicious
- Dangerous
A shortcut is considered ‘Broken’ if the target application or target folder points to a non-existing location. A broken shortcut is not something we could consider harmful but worth to be removed since the shortcut itself become useless.
A shortcut is considered ‘Suspicious’ when it contain arguments.
Most shortcut with arguments could be completely legit, but you should consider taking a look and validate whether or not the shortcut is not calling suspicious applications or parameters. Be careful then when removing them after the scan.
Finally a shortcut is considered ‘Dangerous’ when multiple flags are triggered.
- If the target application points to a command prompt (Terminal, PowerShell, Ubuntu Bash)
- If it contains dangerous keywords often used to create malicious shortcuts
- An argument overflow, which means that the shortcut command line is more than the Microsoft Windows limitation of 260 characters (MAX PATH)
- Shortcut file size is above 4KiB
- Contains arguments plus one of above flags
You should seriously consider removing shortcut flagged as dangerous. The more flags are triggered during the scan, the more dangerous the shortcut could be.
This method detected 100% of Malicious Shortcuts we used to test the application. It also was totally effective against recent malware and phishing campaigns.
(!) In a possible future version of this application we might add a pro-active protection to detect shortcuts when they are created and extracted from an archive. If you wish to see this feature added let us know, it will depend our workload and how many users this program will attract.
Судя по описанию, утилита должна находить ярлыки:
- с отсутствующей целью (объектом)
- подозрительные и опасные по таким критериям:
1. объект ссылается на командный процессор (Terminal, PowerShell, Ubuntu Bash)
2. содержит опасные ключевые фразы, часто используемые во вредоносных ярлыках
3. аргумент превышает 260 символов
4. размер ярлыка свыше 4 КБ.
5. содержит аргумент + один из флагов (что бы это не означало (?))
Что же, судя по пункту 2, это уже заранее гарантирует программе наличие ложных срабатываний (чёрный список).
Итак, после первого запуска и нажатия первой из кнопочек на панели мы видим окно в стиле Metro-интерфейса
с предложением выбрать область для проверки:
Выбрав только один из дисков (C:, диск SSD), сканирование завершилось за около 25 минут. Словом, повторная проверка занимает примерно столько же времени. При этом, антивирус был отключён (система на базе Core i5).
Ни одного объекта найдено не было (хотя на диске содержалось несколько LNK с потерянным объектом).
P.S. Как оказалось позже, программа получает подобный баг после нажатия кнопки «Очистка результатов проверки».
Окей. Я решил вручную натравить папку с карантином. Наконец-то получили результат:
Итак, видим перечень ярлыков. Они делятся на 3 подгруппы: Dangerous / Suspicious / No target (примерный смысл). При чём только в 1-й группе стоят галочки.
А также при нажатии на имя ярлыка появляется незамысловатый HEX-редактор, который, к слову, почти беполезен даже для специалиста, пока на него не наложен спец. шаблон бинарной структуры.
Также видим авто-оценку вредоносности с указанием признаков и степени опасности.
Из неудобства сразу отметим отсутствие колонки с путём к объекту. Чтобы увидеть, приходится клацать отдельно по каждому ярлыку.
Лечение
Собственно, этот пункт мне опробовать на Win10 не удалось, т.к. программа ничего не делает, какие бы кнопки я не нажимал в разделе лечения.
Зато, это удалось сделать на Win7 x32. Программа просто удаляет ярлык, не лечит.
Однако один из ярлыков был попросту заблокирован самой же программой Shortcut Cleaner, так что ни система, ни даже сама программа не могла его удалить
Плюсы:
модный и простой интерфейс.
Минусы:
Большое число багов, в т.ч. плохо работающий основной функционал (не всегда удаляются заражённые ярлыки).
Субъективно: бесполезный (пока) Hex-редактор.
Много времени занимает полная проверка диска.
Интерфейс не способствует удобству для ручной оценки вредоносности объекта, особенно если таких объектов очень много в отчёте.
Физически не умеет выполнять разбор некоторых типов бинарных структур распространённых рекламных LNK ярлыков (например, MSITStore).
Громадное число ложных срабатываний. Например, воспринимает как серъёзную угрозу даже просто ярлык для запуска cmd.exe или powershell.exe без каких-либо аргументов; а также все ярлыки, в имени файла цели которых присутствует подозрительная фраза, например программа «Wrye Bash.exe».
По итогам тестирования, большинство багов и отзыв были направлены разработчику.
Пожелаем им удачи в начинаниях, и надеемся что всё у них получится.
Shortcut Scanner
Review
Free Download
Analyzes shortcut files on your computer and detects whether there is sign of suspicious or unauthorized activity, allowing you to erase the entire creativity
Cyber criminals get more and more inventive when it comes to exploiting the vulnerabilities of a computer. In particular, malicious code can be transmitted via Windows shortcuts. To combat this kind of actions, Shortcut Scanner analyzes all the shortcuts on the target storage drive to detect traces of dangerous content and activity.
On-demand scans of shortcuts on your PC
Right from the start, you should know that Shortcut Scanner does not feature proactive scanning. In other words, in cannot analyze the shortcuts as you create them, in real time, although this feature would only add to its value.
Instead, the application works just like an antivirus scanner. It can scan all the hard drives, be them local or removable ones, a specific drive, a particular folder or a shortcut.
Once the scan is complete, we shift focus to the main window, which reveals a list of all the LNK files in the target location. Shortcut Scanner enables you to see the hex mode of a file, its addresses, and more. There is a checkbox in front of each link, so selecting one or multiple items is conveniently simple.
Broken, suspicious and dangerous shortcuts
Shortcut Scanner organizes shortcut into different categories, separating broken links from suspicious and dangerous ones.
First of all, there are the broken shortcuts, which are practically useless, as they point to a target folder or application that does not exist. While not harmful, these shortcuts are pointless.
Secondly, if a shortcut features arguments, Shortcut Scanner automatically sends it to the ‘Suspicious category.»
Dispose shortcuts marked as dangerous
The category that gives us chills and that should interest us the most is the ‘Dangerous’ category. To be included in this category, a shortcut must match several criteria. For instance, it must point to a command prompt or a terminal, it must include malicious shortcuts, and it must contain arguments. Furthermore, a file size which is bigger than 4KB also raises questions, so it goes in the ‘Dangerous’ category.
While the broken links and the suspicious files can be overlooked, it is advisable that you erase the data inside the ‘Dangerous’ section.
Shortcut Scanner offers a way to combat infections that spread via shortcut exploiting. It is a simple application that not only targets malicious content but helps you get rid of broken shortcuts on your hard drives.
Shortcut scanner windows 7
We pledge that our downloads are always free of malware, spyware, and adware. Furthermore, we refuse to bundle any software unrelated to Shotcut such as browser toolbars or download managers. However, we can only provide that guarantee if you come to this website to download.
Current Version: 20.09.27
We think your OS is Well, we don’t actually know. Either JavaScript is disabled, or I am not working quite right. So, I am showing you all the options.
Windows
macOS
| Site 1 (FossHub) В В | Site 2 (GitHub) |
|---|---|
| macOS dmg | macOS dmg |
An unsigned app bundle is available on GitHub so that you can modify the build per the Free Software license agreement.
GNU/Linux
(64-bit Mint 19+, Ubuntu 16.10+, Debian 9+, Fedora 24+, Arch/Manjaro 16.10+)
| Site 1 (FossHub) | Site 2 (GitHub) |
|---|---|
| 64-bit Linux portable tar | 64-bit Linux portable tar |
| 64-bit Linux AppImage | 64-bit Linux AppImage |
Linux portable tar users: No install required, simply extract the archive and run it. You can drag the Shotcut folder to copy and move it wherever you want. If double-clicking the icon in your file manager does not launch Shotcut, open Shotcut.app, and try double-clicking the shotcut shell script. Do not try to run bin/shotcut directly. You may need to install JACK from your distribution. Here is a page that lists some required packages for specific distributions.
Snap Users: On snap-enabled systems, install from the store with snap install shotcut —classic
Since this snap is using classic confinement based on the portable zip above, not all dependencies are bundled, and it has the same run-time requirements as the portable tar.
Other
File checksums for downloads are available in md5sum or sha256sum format.
Older versions are available for download.
This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.