- Free online virus scanner – virus removal tool
- How do you differ from other website malware scanners and malware clean-up services?
- Powershell downgrade
- Why choose threatsign! website anti-malware?
- As a trusted leader in website security with over 15 years of security expertise, quttera’s team of professionals and researchers analyzes up to date web malware, remediates hacking attacks all around the world, and ensures the highest customer support. our centralized anti-malware platform allows you to manage and minimize cyber risks protecting your web assets from malware and blacklisting.
- Как обойти проверку
- Как это работает
- Сканер исходящих ссылок
- Сканирование на наличие sql-инъекций
- Эвристическая проверка
Free online virus scanner – virus removal tool
Even in 2021, viruses are still persistent threats. A virus infection is harmful software triggered by performing common tasks such as opening an email attachment, launching an infected program, or viewing an ad on a malicious site. Viruses self-replicate by modifying or completely replacing files.
Viruses are a type of malware. Malware’s focus is all about making money off you. Although it can’t damage the physical hardware of your device or network equipment, it can steal, encrypt, or delete your data, alter or hijack core computer functions, and spy on your activity.
The best way to protect against a virus infection and malware is to use a legitimate antivirus and anti-malware solution such as Malwarebytes Premium which not only cleans up viruses but other threats, too. It’s powered by artificial intelligence and machine learning to keep your device safe.
How do you differ from other website malware scanners and malware clean-up services?
Unlike other providers in the website malware scanning, Quttera utilizes its patented technology to detect web threats. Minimization of False-Positives and speeding up scan time are key parameters that majority of our competitors keep in mind when relying on common pattern-matching approach.
We believe that this is not enough. That is why Quttera invests in enhancing and evolving code analysis technology that uncovers absolutely new and previously unknown infection. This allows our clients to stay on top of the hacker attacks and win time for remediation and fixes needed to get a business back online.
Powershell downgrade
Первый способ, который иногда срабатывает, тривиален. PowerShell 2.0 устарел, но Microsoft не спешит удалять его из операционной системы. У старой версии PowerShell нет таких защитных механизмов, как AMSI, поэтому для обхода детекта иногда достаточно использовать команду powershell -version 2.

Why choose threatsign! website anti-malware?
As a trusted leader in website security with over 15 years of security expertise, quttera’s team of professionals and researchers analyzes up to date web malware, remediates hacking attacks all around the world, and ensures the highest customer support. our centralized anti-malware platform allows you to manage and minimize cyber risks protecting your web assets from malware and blacklisting.
Detect suspicious activity on your website at any time, 24/7, with the THREATSIGN! website monitoring.
Real-time website malware scanning and instant notifications allow you to act quickly upon active threat detection.
Enhanced THREATSIGN! user dashboard is designed to perform a periodic scan of the provided domain as well as an on-demand malware scan.
You can login to your website malware monitoring dashboard from anywhere to get the security status of your website, customize your monitoring settings or see where the potential problem exists through our detailed report. Easily, with a click, assign one of our malware analysts to review your website files and remove malware.
Effective and faster reaction, especially when it comes to new types of malware, is what will help you to avoid traffic loss, save money, establish trust and increase sales. At THREATSIGN! you have access to real security experts. Web malware and information security professionals are at your service to expedite blacklist removal, website malware cleanup, unblocking websites blocked by web hosting and ensure proper website protection is in place.
Как обойти проверку
Механизм AMSI использует сигнатурное (rule-based) детектирование угроз. Зная этот факт, можно придумывать разные тактики и техники. Некоторые известные способы уже не сработают, но, используя модификацию кода, обфускацию и криптование, можно добиться интересных результатов.
Итак, поехали.
Как это работает
Когда пользователь запускает скрипт или инициализирует процесс PowerShell (либо PowerShell_ISE), в процесс автоматически загружается библиотека AMSI.DLL. Она‑то и предоставляет необходимый API для взаимодействия с антивирусным ПО.
Прежде чем выполниться, скрипт или команда при помощи удаленного вызова процедур (RPC) отправляется Microsoft Defender, он, в свою очередь, анализирует полученную информацию и отсылает ответ обратно AMSI.DLL.

На приведенной выше схеме обозначены две функции — AmsiScanString() и AmsiScanBuffer(), они, по сути, главные в цепочке AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer и AmsiCloseSession. Если глянуть Exports для amsi.dll, то мы увидим следующее.

Однако значительная часть этого списка нам сегодня не пригодится.
Итак, мы запустили PowerShell. До того как мы сможем вводить какие‑либо команды, будет загружена AMSI.DLL и произойдет вызов AmsiInitialize().
Тут используются два аргумента: имя приложения и указатель на структуру CONTEXT. Параметр amsiContext будет использоваться в каждом последующем вызове AMSI API.
После того как мы ввели команду или попытались выполнить скрипт, происходит вызов AmsiOpenSession():
Тут тоже передаются два аргумента: amsiContext, полученный на шаге AmsiInitialize(), и указатель на структуру SESSION. Параметр amsiSession будет использоваться в каждом последующем вызове AMSI API внутри этой сессии.
Далее в дело вступают те самые AmsiScanString()и AmsiScanBuffer(). По названию, в принципе, понятно, какие параметры они передают для проверки, да и синтаксис у них почти одинаков.
Defender проверяет буфер или строку и возвращает результат. Если ответ от Defender — 32768, то малварь обнаружена, единичка сигнализирует, что все чисто.

Ну и после всех перечисленных выше проверок текущая сессия закрывается с использованием AmsiCloseSession.
Сканер исходящих ссылок
Эта опция позволит вам узнать количество исходящих ссылок с вашего сайта, и на сайты, которые они ссылаются. Эти сайты проверятся по нашей базе данных, после этого будет показан результат, если они были использованы как ссылки в спам-сообщениях. Это позволит Вам проверить Ваш сайт и найти скрытые или спам-ссылки. Все найденные ссылки будут отображены в категории “Outbound Links”
Чтобы включить эту опцию:
- Пройдите в Вашу панель управления WordPress —> Настройки —> Security by CleanTalk.
- Пройдите во вкладку “Основные настройки“;
- Включите опцию “Сканирование ссылок” и нажмите на кнопку “Сохранить изменения“
Сканирование на наличие sql-инъекций
Что такое SQL-инъекция?
Это атака на базу данных, которая предоставляет доступ злоумышленнику выполнять различные действия, которые не были запланированы создателем скриптов.
SQL-инъекция является самым доступным способом для взлома сайта. С помощью неё злоумышленники “читают” содержимое любых таблиц, удаляют, изменяют или добавляют информацию в базу данных, перезаписывают локальные файлы и дают команды на выполнение произвольных действий.
Другими словами, они полностью перехватывают управление сайтом.Суть подобных инъекций — внедрение произвольного SQL-кода в данные (передаются с помощью GET-, POST-запросов или значений Cookie-файлов). Если сайт уязвим и выполняет такие инъекции, то фактически существует возможность создать что угодно из базы данных (чаще всего это MySQL).
Malware Scanner от CleanTalk позволяет находить такой код SQL-инъекций.
Эта опция входит в состав инструмента Web application FireWall.
Подробную информацию об инструменте Web application FireWall Вы можете найтиздесь.
Эвристическая проверка
Этот параметр позволяет проверять файлы плагинов и тем с помощью эвристического анализа. Вероятно, он найдет больше, чем вы ожидаете.
Основные файлы — это файлы, которые поставляются с дистрибутивом WordPress. Любые другие PHP-файлы в каталоге WordPress (за исключением /wp-content/) неизвестны и должны быть надлежащим образом проверены. Даже если мы нашли что-то в этих файлах, они так же появятся в категории “Неизвестно”, чтобы вы знали, что они являются сторонними файлами.
Каждый файл в /wp-content/* будет проверяться с помощью эвристики. Проверка может найти много интересного. Если вы видите там много находок, не паникуйте, проверка показывает Вам только возможные слабые места.
