NEON

• Технический разбор: Приставка .gl указывает на конкретную версию бэкдора. Хакеры постоянно меняют мелкие детали в коде (обфускация), чтобы файл выглядел для антивируса как «новый». Но, как мы видим, эвристика Касперского успешно распознает семейство угроз даже в сжатом виде.
• Локация: Путь 

  ...sb26.ru.tar/tem.php

   подтверждает, что файл находится в нашей изолированной зоне для исследований. Внутри архива он обезврежен, так как не имеет возможности автоматического запуска.
• Решение исследователя: Снова нажимаю «Пропустить». Моя цель — задокументировать как можно больше уникальных образцов вредоносного ПО, прежде чем очистить систему окончательно.

Шаг 2: Вскрываем «tster.php» — Тестовый запуск бэкдора.

На скриншоте Касперский вцепился в файл с красноречивым названием 

tster.php

. Это классический представитель семейства HEUR:Backdoor.PHP.WebShell.gen.

• Техническая суть: Хакеры часто называют свои шеллы 

  test.php

  , 

  tster.php

   или 

  checker.php

  . Это их «разведчик». После взлома они заливают такой файл первым, чтобы проверить, работает ли PHP на сервере и какие права доступа у них есть.
• Скрытность: Вирус запрятан внутри архива 

  sb26.ru.tar

  . Это «спящий» режим — пока архив не распакован на сервере, он не активен, но Касперский распознаёт вредоносный код даже в сжатом виде благодаря эвристике.
• Вердикт исследователя: Снова нажимаю «Пропустить». Этот «тестер» нам нужен для коллекции, чтобы изучить, какие именно методы обхода защиты он использует при попытке «связаться с домом» (сервером хакера).

• Технический разбор: В отличие от версии .gen, версия .gl — это более специфическая модификация. Хакеры часто меняют мелкие детали в коде (обфускация), чтобы файл выглядел для антивируса как «новый» и неизвестный.
• Локация: Обратите внимание на путь — вирус сидит внутри двойного архива (

  .tgz

   -> 

  .tar

  ). Это классическая «матрешка» для обхода простых серверных сканеров.
• Вердикт исследователя: Поскольку файл находится в папке 

  srv3\waper...

   (моя изолированная песочница), я снова нажимаю «Пропустить». Он безопасен в архиве, но критически важен для изучения методов маскировки кода.

«КОММЕНТАРИЙ №10: Финальный рубеж — Зачистка системных стилеров и шпионов (Итоги эксперимента)»

«Шаг 4 в Охоте: Сканирование «слепых зон» — почему я нажал «Пропустить»

На очередном этапе Касперский вывел уведомление о Backdoor.PHP.WebShell.gl в файле 

tem.php

. Я внимательно изучил путь: 

C:\Users\admin\D...sb26.ru.tar

.

• Мой вердикт: Поскольку путь не выходит за пределы моей изолированной среды (песочницы), угроза для операционной системы отсутствует. Файл находится внутри зашифрованного архива и не имеет возможности самозапуска.
• Решение исследователя: Я нажал «Пропустить». Моя цель — не просто всё удалить, а сохранить образцы для анализа того, как хакеры «обфусцируют» (запутывают) код своих бэкдоров, чтобы обходить серверные защиты.
• Итог: Все критические объекты в этой ветке проверены. Убедившись, что Касперский не нашёл новых путей заражения вне песочницы, мы закрываем этот блок.

Что дальше: Мы переходим к самому опасному этапу. Впереди — финальная зачистка системных шпионов и стилеров, которые могут находиться в автозагрузке Windows. Переходим к новому блоку: «Ликвидация системных шпионов»!»

«Шаг 3 в Охоте: Модификация .gl — хакерская мимикрия.

Антивирус продолжает методично сканировать изолированную зону и наткнулся на Backdoor.PHP.WebShell.gl в файле 

tem.php

 внутри архива.

• Технический разбор: Приставка .gl указывает на конкретную версию бэкдора. Хакеры часто меняют мелкие детали в коде (обфускация), чтобы файл выглядел для антивируса как «новый» и неизвестный. Но, как мы видим, Касперский успешно детектирует это семейство угроз.
• Состояние: «Не удается вылечить». Это логично, так как файл не содержит полезного кода — это чистый инструмент взлома.
• Моё решение: Сверяюсь с расположением (

  C:\Users\admin\D...sb26.ru.tar

  ) — это всё ещё моя безопасная «песочница». Нажимаю «Пропустить».

Инсайт исследователя: Такая настойчивость антивируса — хороший знак. Это значит, что ни одна «красная» угроза не останется незамеченной, даже если она запрятана в несколько слоев архивов. Мы продолжаем движение к системным стилерам».

«Шаг 2 в Охоте: Изоляция «Матрёшек» — почему WebShell так сложно достать.

На новом скриншоте Касперский снова вывел уведомление о HEUR:Backdoor.PHP.WebShell.gen. Файл 

tster.php

 запрятан внутри архива 

...sb26.ru.tar

.

• Технический разбор: Обратите внимание на путь в окне антивируса — это глубокая вложенность в папке 

  bd

  . Для хакера такая «матрешка» — способ спрятать код от автоматических систем защиты хостинга, которые часто сканируют только распакованные файлы.
• Состояние объекта: «Не удается вылечить». Это подтверждает, что перед нами не зараженный полезный файл, а 100% вредоносный скрипт.
• Моё решение: Я снова нажимаю «Пропустить».

Для справки: Это осознанный риск. Файлы в этой папке обезврежены тем, что они находятся в архивах и не имеют прав на исполнение. Я храню их как «эталоны» вредоносного кода для сравнения с новыми угрозами, которые могут появиться в будущем. Ноутбук-полигон продолжает работу в штатном режиме».

tster.php

• Техническая суть: Этот объект — универсальный бэкдор. Он позволяет хакеру удаленно выполнять любые команды на сервере, скачивать ваши базы данных и даже использовать ваш сайт для атак на другие ресурсы.
• Скрытность: Файл упакован в архив 

  .tar

  , который сам находится внутри архива 

  .tgz

  . Такая «матрешка» создана специально, чтобы обойти стандартные средства защиты хостинга. Касперский видит его насквозь только благодаря эвристическому анализу (HEUR).
• Вердикт: «Не удается вылечить». Это чистый программный яд.

«КОММЕНТАРИЙ №9: Операция «Охота за стилерами» — Как воруют ваши деньги (PSW.Coins и Agent)»

«ИТОГ ТРЕТЬЕГО ЭТАПА: ВСКРЫТИЕ ПЕСОЧНИЦЫ И МАСКИРОВКА ПОД ГРАФИКУ

Мы завершили первый этап препарирования «Красной зоны» в моей изолированной среде. Результаты подтверждают коварство современных взломщиков:

1. Многоуровневая маскировка: Обнаружена целая серия объектов HEUR:Backdoor.PHP.Generic, которые выдают себя за иконки (

   icon.ico

   ) или прячутся в архивах с бессмысленными именами. Это расчет на то, что администратор сайта при ручной проверке не заподозрит вредоносный код в папке 

   img

   .
2. Эволюция Бэкдоров: Модификации .gl и .gen показывают, что хакеры постоянно «мутируют» свой код. Касперский видит их структуру, но вылечить такие файлы невозможно — они полностью состоят из команд для удаленного управления.
3. Тактика «Матрешки»: Почти все угрозы запрятаны в двойные или тройные архивы (

   .tgz

    -> 

   .tar

    -> 

   .php

   ). Это стандартный метод обхода простых почтовых фильтров и сканеров хостинга.

ГЛАВНЫЙ ВЫВОД: «Красная зона» в моей песочнице — это реальный учебник по маскировке. Все эти файлы я осознанно пропустил (нажал «Пропустить»), чтобы сохранить их для детального анализа кода. Моя система в безопасности, так как эти «звери» сидят в клетке архивов.

Что дальше: Исследование не закончено. Впереди нас ждет разбор самого опасного «хищника» в нашем списке — Trojan-PSW.MSIL.Coins.gen. Мы узнаем, как именно шпионы воруют крипту и пароли, и чем закончится их попытка закрепиться на моем ноутбуке. Переходим к следующему блоку: «Охота за стилерами»!»

tem.php

• Технический разбор: Модификация .gl — это ещё одна попытка хакеров «запутать» код скрипта (обфускация), чтобы его не нашли стандартные антивирусы. Но эвристика Касперского видит вредоносную структуру даже под маской обычного PHP-файла.
• Вердикт: «Не удается вылечить». Это подтверждает, что файл — чистый яд, созданный исключительно для взлома.
• Моё решение: Я снова нажимаю «Пропустить».

bd

...sb26.ru.tar/tster.php

• Почему антивирус «ругается»: Он видит активный бэкдор, который не подлежит лечению. Стандартная процедура — немедленное удаление архива.
• Моё решение исследователя: В этот раз я нажимаю «Пропустить».
• Зачем это нужно: Эта папка является моей изолированной «песочницей». Файлы здесь находятся в архивах и не могут сами запуститься или навредить системе. Я оставляю их для детального анализа структуры кода и того, как именно хакеры прячут свои скрипты в «матрёшках» из архивов.

tster.php

• Техническая суть: WebShell — это вредоносный скрипт, который после загрузки на сервер дает злоумышленнику полный контроль над вашим сайтом через обычный браузер. Хакер может удалять файлы, красть базу данных пользователей или менять контент на страницах.
• Скрытность: Обратите внимание на путь — вирус сидит внутри архива в архиве (

  .tgz

   -> 

  .tar

  ). Это «матрешка», созданная для того, чтобы простые сканеры не смогли его найти. Но эвристический анализ Касперского (префикс HEUR) распознал вредоносный код даже под такой защитой.
• Вердикт антивируса: «Не удается вылечить». Для PHP-скрипта это означает только одно: весь код файла является вредоносным. Восстановить там нечего.