поговорить о uVS, Carberp, планете Земля

1 2 3 4 5 ... 142 След.
RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа
про сигнатуру и не думал) таких файлов может быть несколько в системе?  :o
Правильно заданный вопрос - это уже половина ответа
Арвид,
regt 7 не нужен.
лучше накапливать сигнатуры, тогда быстрее можно писать скрипт,
чувствую, что скоро мы уже будем не успевать за Carberp-ом.
нельзя сделать утилиту для чистки системы от этого зверька?
Правильно заданный вопрос - это уже половина ответа
не знаю, почему ESET не выпустит, уже недели две как пользователей трясет.
Цитата
santy пишет:
не знаю, почему ESET не выпустит, уже недели две как пользователей трясет.

Они обновляют криптор, есет добавляет и сам файл в базу и пишет криптик, но его хватает на 1-2 дня, после смени упаковщика, ловим дружно болтик ))))
Изменено: zloyDi - 21.11.2011 19:29:34
единственно, непонятно,
или все пользователи сейчас хватают эту заразу, а в памяти только Есет может ее обнаружить,
или Карберп нащупал слабые места в защите Есета.
Цитата
zloyDi пишет:
Они обновляют криптор, есет добавляет и сам файл в базу и пишет криптик, но его хватает на 1-2 дня, после смени упаковщика, ловим дружно болтик ))))
здесь нужна отдельная утилита, которая могла бы зачистить тело файла, обнаружив его на диске, как uVS, применив антиспласинг. ЕСЕТ видет его в памяти, но похоже не может найти его на диске. (или не всегда).
Во-первых, начать надо с того, что у пользователей должным образом не настроен HIPS: хотя бы правила на автозагрузку нужно обязательно сделать, не говоря уже о настройке запуска исполняемых файлов с системного диска.
Во-вторых, непонятно со сменой упаковщика. Насколько значительно изменяется алгоритм упаковки между модификациями?
Изменено: marshal64 - 21.11.2011 19:41:07
Цитата
Арвид пишет:
нельзя сделать утилиту для чистки системы от этого зверька?

ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
Очистить папку от всех файлов...
И всё.
Или, именно от IGFXTRAY.EXE
Тем более, что имя это они не меняют.
Видимо фирменная марка такая.  :)
1 2 3 4 5 ... 142 След.
Читают тему (гостей: 1)