2.2.0.8 - add
Last time the program was damaged when uploading to the server. Sorry for inconvenience.
2.2.0.8
Added support with Windows 2000 and Windows Server with Terminal services.
File search engine replaced by MFT version (NTFS only). Scan speed will have been significantly increased on machines with slow drives and drives with large number of files.
Added key /allDrives - to check all hard drives of PC.
Added translation into German. You can forcibly switch to this language by specifying key /Lang DE or by renaming program file into "Check Browsers LNK_DE.exe".
Added recognising of user profiles root folder if it was moved during OS installing stage by 'sysprep' or by symlink method.
Fixed false marks "NOT profile".
Fixed bug when mounted disk is recognised as disconnected. Added getting target of associated network resource.
[LNK] Fixed bug with parsing of unicode name of folder for FTP-LNK.
[LNK] Improved parsing of shortcuts with 64-bit environment variables.
[LNK] To the sub-section "Target does not exist" added description "wrong prefix of protocol" for 'MSITStore' shortcuts with unfinished prefixes like http:/, http:\
[PIF] Fixed bug with parsing Cyrillic characters in paths of PIF shortcuts.
[PIF] Fixed bug with differentiation of PIF target into target and argument.
[PIF] Added marks and hash sum, if PIF file is PE EXE.
[ URL ] Fixed parser of URL shortcut with UTF-8 format address.
[ URL ] Maximum length of URL target is increased from 254 to 1000 characters. More longer target will be specified in log with mark of its real size.
[ URL ] Changed order of paths to shortcuts in section "Internet shortcuts". Full path will be specified in log at first place. Next is 8.3 path (for unicode paths).
Command line keys manual has been updated in program /? and on official site.
Fixed a lot of small errors.
Fixed false positives.
Updated databases.
ver. 2.2.0.8 hash: https://virustotal.com/en/file/3d880299bdc1cadf63ad10ad9d4dad8c4111421aa6a467e9ac68cbed1f4e232f/analysis/1479067188/
2.1.0.7
Добавлено отображение кодировки скрипта для тестовых целей (автоопределение средствами Windows).
Исправлен баг с конвертацией кодировки скриптов.
2.1.0.6
Секции "Цель не существует" рекомендованы для лечения.
Улучшен парсер командной строки CMD.
Лог почищен от дублирования записей в секциях "С атрибутом "Только для чтения"" и "Отладка".
Добавлена поддержка сворачивания блоков секций отчета при открытии в Notepad++ с подсветкой "INI".
Добавлено раскрытие скриптов с кодировкой UTF-8.
Добавлено раскрытие Escape-последовательностей в адресах URL.
2.1.0.5
Добавлены подсекции "Игры Microsoft" и "Другие протоколы".
Завершен реверсинг формата FTP Shell item; внедрено в парсер LNK.
Убран баг с определением размера ярлыка в 0 байт, если он поврежден.
2.1.0.3 - 2.1.0.4 MD5: DB154028E12647FDBA643001CB3D6F20
Заменен парсер URL.
[баг] Устранены 2 варианта ложного срабатывания на признак модификации ярлыков (спасибо shestale и regist).
[баг] Исправлена ошибка при сравнении на соответствие заголовку LNK (для систем с подмененной кодовой страницей) (Спасибо regist и Melave за тесты)
Слегка почищен / уменьшен лог, отладка.
Дополнены случаи, когда отсутствует ассоциация браузера по-умолчанию.
Добавлено опознавание для ассоциаций браузеров, установленных в директорию не по-умолчанию.
Дополнен эвристический анализатор, исправлены ошибки.
Улучшен парсер командной строки.
[баг] Убрана зависимость рассчета MD5 от локали и в 2 раза увеличена ее скорость.
В шапку лога добавлены сведения о кодовых страницах OEM/ANSI, проверке их целостности.
Убрана зависимость от библиотеки cryptdll.dll.
[баг] Исправлен белый список атрибутов "Только для чтения" системных ярлыков.
[баг] Ускорен скан ярлыков на Windows XP.
Секция "Избранное" дополнена ярлыками от Microsoft Edge.
Дополнены вредоносные сигнатуры скриптов.
Пополнена и обновлена база браузеров.
Добавлена юникодная поддержка Базы Данных.
Изменения: 2.0.0.13 beta - 2.1.0.2 - MD5: 7C81C23BF3EBC9260896A335DC70C4AD
Основные:
[очистка] Удалена проверка ЭЦП, ключ -sign, отображение информации об авторе PE EXE.
[очистка] Отключено сбрасывание атрибута ReadOnly у ярлыков.
[новое] В секцию "Другие файлы и атрибуты" введена подсекция "С атрибутом "Только для чтения"".
[новое] Введена подсекция "Избранное" в секцию "Интернет-ярлыки".
[новое] Добавлено определение портативных браузеров.
[новое] Раскрытие содержимого скриптов меню "Пуск".
[новое] Авто-урезание множественных пробелов аргумента ярлыка.
[новое] Существенно улучшен вывод отладочной информации в файлы креш-дампов. Если программа "упадет", Autologger автоматически создает креш-дамп (в Windows Vista и выше). А для систем Windows XP такой дамп можно получить вручную (читайте инструкцию в разделе FAQ).
[ошибки] Исправлен баг с падением программы при раскрытии ярлыков облачных сервисов.
[ошибки] Исправлен баг с опознаванием безопасных браузеров по-умолчанию в x64 ОС.
[очистка] Безопасные браузерные ассоциации для .htm/.html/.url/http/https/ftp не будут выводится в лог.
[новое] Добавлена пометка "Программа не сопоставлена" на случай, когда для .URL/http не установлено ассоциации.
Ускорен поиск ярлыков на Windows XP.
[ошибки] Исправлен баг с ложными детектами на признак модификации ярлыков в x64 ОС.
Разные правки алгоритмов детекта и перераспределения между секциями отчета, в т.ч.:
- Ярлыки ClickOnce перенесены в секцию "Интернет-ярлыки". Улучшен парсер.
- Ярлыки со сторонними протоколами (gamenet:// и т.п.) переброшены в секцию "Интернет-ярлыки".
- Ярлыки облачных хранилищ перенесены в единую секцию.
Второстепенные:
[новое] Добавлена поддержка двойного раскрытия содержимого скриптов bat/cmd.
В логе не будет указываться альтернативный путь в формате 8.3, если он также раскрылся в виде юникодных символов.
[очистка] pif-версии AutoLogger, Check Browser's LNK и AVZ убраны из белых списков признаков, которые можно подделать.
[ошибки] Добавлена защита от обработки путей, превышающих безопасную длинну для ANSI-функций. Ранее приводило к блокировке парсера URL.
[новое] Добавлен ключ -showAssoc - для интернет-протоколов форсировать показ ассоциаций, опознанных как безопасные.
Усовершенствовано регулярное выражение для копий браузерных ярлыков Windows 10 и англоязычных систем.
[базы] Дополнены сигнатуры вредоносных скриптов / пополнены "белые" базы.
2.0.0.12 beta - MD5: FAF440AB8B7CDE8F94A37CA99CCE981C
[bug] Reconfigured module of emergency closing the program when launched via AutoLogger (timeout was mistakenly set to 15 seconds).
[Bug] Fixed error of 64 bitness paths interpretation of browser database.
Simplified rules for certain shortcuts created by user.
Database updated.
2.0.0.11 - MD5: 9F9CDDFF2C5A4623C6F5647F4056A2DC
Check Browsers' LNK - Generation 2.
Major changes:
- Added section "default browser". Legitimate entries are marked with the prefix [OK]. The base is on filling stage.
- Added support of shortcuts: .WEBSITE, .APPREF-MS (ClickOnce), .PIF, some specific malicious formats of LNK with HTTP/FTP on the target.
- Added shortcuts disclosure .WEBSITE, .APPREF-MS (ClickOnce), .PIF, some malicious LNK to HTTP / FTP to the target.
- Checking the legitimacy of the digital signature of unidentified browsers and suspicious objects from Start menu.
- Increased average speed of searching. This rate will continue increase with each new update.
- Many bug fixes including some critical errors that may hang the program.
- Browser-based shortcuts are also considered any of shortcut names whose target lead to a browser (database match).
Secondary:
- Added command line keys -sign, -timeout X, -debug, -nodebug, scanfolder "way" (details on FAQ on the main resource page)
- From the section "The target is not exist" derived a separate section "Target on removable / network device".
- Truncated reports should no longer exist (if launched via AutoLogger) - a program will automatically end when exceeding the timeout
(including the the time spent in the antivirus sandbox) and adds a report to the extended debug information.
- The checksum of the report will always be = FFFFFFFF.
- All file functions are translated into Unicode.
- Removed dependency on library scrrun.dll
- If the programm will crash, polymorphic version of the logs collector AutoLogger is able to create crash reports, which will greatly help in the analysis
(do not forget to ask users to upload them on file sharing). Details available on Autologger's FAQ.
FAQ, keys and a description of the program updated (some of this things are only available on the main resource page on http://SafeZone.cc).
I want to thank you for the personal help and advice:
regist, riuson, Krivous Anatoliy, Kazakevich Aleh, Zaitsev Oleg.
For valuable samples of source codes and the theory:
AD13, wj32 (Process Hacker team), Anarchriz/DREAD.
This update also include:
// 2.0.0.0 - 2.0.0.11 (private versions)
// 1.1.0.39 - 1.1.0.47 (private versions)
Fixed a problem with the recognition of launching from archive.
Added time spent in the sandbox antivirus program. It is a field "AV Sanbox" on the log. It only works when you run program inside the AutoLogger.
Added command line key -sign - checking legitimacy of browser's EXE digital signature (if their pathes are present on the shortcuts). Errors will be marked by prefix [sign].
Added command line key -debug - to display extended debug information on the log.
Update and cleaned database, removed false positives.
[bug] Part of the shortcuts wasn't checked on the basis of the white URL database and is not used heuristic analysis.
[bug] Shortcuts with 0 bytes do not always displayed on the log and displayed as "The target is unknown."
[Report] Subsection "Cloud storage" moved to the section "Other shortcuts".
[optimization] Added caching of EDS checks, PE EXE format checks and checking whether a file exists.
[Bug] Fixed a bug where an empty argument to profile path could lead to the verification of the whole disc.
[Report] Improved verification procedure of launching with elevated privileges. It will be specified in the "Elevated" field of log (thanks to Oleg Zaytsev).
[Report] Added information about a user's groups (Administrator, Power User, Limited User, or Guest).
[Report] Language system dialogue ... is now displayed completely and are not abbreviated.
Removed code with low-level functions, which sometimes led to hang program during anti-virus scan.
Created debug version of the program (now integrated into the regular one and can be controlled via keys -debug, -nodebug)
[bug] Fixed a bug in determining of object of some cloud storage shortcuts which could lead to a freeze of scanner.
When you launch program from archive it will ask you a permission to copy itself to the desktop and restart.
[Optimization] The speed of analysis is increased by replacing "Scripting.Dictionary / scrrun.dll" with a class of hash table by Anatoliy Krivous.
1.1.0.39
[bug] Missed flag "Target is exists" for some system shortcuts which was expanding using Wow64 compensation (thanks for the help to Lawrence Abrams).
[bug] 64-bitness redirection was not correctly resumed. It could potentially cause the program crash.
[bug] Safe shortcuts of MS Installer was not displayed in the list of removed RO attributes.
[bug] File names which consists of characters outside the range of ASCII is defined correctly now (It affect on necessity to show alterative name on format 8.3).
[analysis] Added detection of undocumented switch used by Adware (for Internet Explorer).
[analysis] Added detection of damaging 'DropHandler' (mechanism Drag & Drop) for EXE-files. It display in the section "Errors".
[base] Added browser Comodo Chromodo, white lists was updated.
[report] OS Build is always displayed now.
[report] Section "Profiles" renamed into "Been verified" (verified directories).
[report] In the section "Been verified" added display of fact: whether it is a user profile folder and also alternative path in format 8.3 in case when the name consists of characters outside the range ASCII.
Added checking of policy of short file names creation '8.3' (it doesn't work as described in MSDN. Thanks for confirmation of bug to Liviu).
Functions of reading of registry, expanding of environment variables, getting size of file names, was replaced with unicode analogues.
1.1.0.38
[Analysis] Added handling of URL-addresses with a backslashes.
1.1.0.37
[Bug] Fixed a bug in the logic of shortcuts modifications analyzer (thanks to Sandor).
1.1.0.36
[Interface] Added French localization (thanks to Fr33tux (fr33tux.org)).
[Interface] Added command line switches -Lang XX forced to switch the interface language, where XX - is the language of RU, EN or FR.
Alternatively, you can rename the file of the program "Check Browsers LNK_EN.exe", _RU or _FR.
[Analysis] Fixed a false positive on a modified shortcuts (the other case with Wow64).
[Bug] Fixed conflict between attribute "hidden / system" and the label "to treat" (>>>) when checking on the blacklist of shortcuts.
[Report] Removed labels "(system), (hidden attribute)" because of losing of meaning after adding [s] and [h] prefixes.