Предупреждение о вредоносном ПО от Endfield Records (объяснение работы Pull Tracker)

Описание: В этом видео объясняется, какое вредоносное ПО было обнаружено на сайте EndfieldRecords.com, который использовался игроками для отслеживания логов розыгрышей баннеров в Arknights: Endfield.

Если вы пользовались этим сайтом, вам следует проверить свой компьютер, чтобы убедиться, что вредоносный скрипт не создал постоянных задач или записей в реестре вашей системы.

Временные метки:
0:00 Краткое объяснение
0:30 Что произошло
0:45 Что крадет вредоносная программа
1:05 Как проверить, заражена ли ваша система
1:22 Журнал событий
2:30 Планировщик задач
3:16 Проверка планировщика задач и программ автозагрузки с помощью команд PowerShell
4:15 Папка System32
4:54 2 варианта удаления вредоносной программы
5:15 Как аннулировать старый токен
5:40 Что делать после, если вы следовали руководству пользователя Discord по удалению вредоносной программы
5:50 Заключение

В этом руководстве я объясняю:

что произошло с EndfieldRecords
что пытается украсть вредоносная программа
как проверить, заражена ли ваша система
как ее удалить

Сообщается, что скрипт пытался собрать данные из файлов, связанных с такими играми, как Wuthering Waves, Genshin Impact, Honkai Star Rail и Zenless Zone Zero, а также данные браузера Firefox и Блокнота файлы.

Даже если во время проверок ничего подозрительного не обнаружится, всё равно рекомендуется сменить пароли и очистить сессии, если вы пользовались сайтом, когда он был в сети.

🔎 Команды PowerShell, используемые в руководстве:

Проверка запланированной задачи:

Get-ScheduledTask -TaskName "RegisterDeviceScopeChange" -TaskPath "\Microsoft\Windows\DeviceDirectoryClient"

Проверка ключей реестра:

Get-Item "HKCU:\Software\Orutime\Lethreme"

Get-Item "HKLM:\Software\Orutime\Lethreme"

Проверка программ автозагрузки:

Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"

В идеале первые три команды должны возвращать что-то вроде: ObjectNotFound.

Последние две команды покажут программы, настроенные на автоматический запуск при загрузке Windows.

Если вы видите неизвестные программы или подозрительные URL-адреса, проверьте их подробнее, прежде чем разрешать их запуск.

⚠️ Если вы обнаружите какие-либо подозрительные файлы или запланированные задачи, упомянутые в видео, рассмотрите возможность чистой переустановки Windows, чтобы убедиться в полном удалении вредоносного ПО.

#ArknightsEndfield #MalwareWarning #EndfieldRecords