Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 51 52 53 54 55 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.03.2012 23:29:06
ну, на pchelp-е достаточно было случаев, когда через delall удаляется нормально, но возможно, что delref лучше,
в общем случае, если бы была самозащита у трояна, то delref тоже не поможет, только виртуализация.
Изменено: santy - 21.03.2012 23:29:27
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.03.2012 12:50:53
чаще стали появляться заражения со SpyEye, которые не попадают в образ в нормальном режиме, только в безопасном видны.
http://forum.esetnod32.ru/forum6/topic4860/
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.03.2012 14:23:15
Можно создать критерий поиска для Win32/Spy.SpyEye.CA.На базе:
Содержит: .exe /q
Или так: .exe /

Дмитрий уже в курсе ситуации ?
То, Carbepr прятался в безопасном искали, теперь Spy.SpyEye.CA прячется.
Кто следующий ?
Да и процесс лечения затягивается.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.03.2012 14:30:21
Цитата
RP55 RP55 пишет:
Можно создать критерий поиска для Win32/Spy.SpyEye.CA.На базе:
каким образом этот критерий сработает если данный вариант не попадает в образ?
я засветил эту проблему с целью предупредить хелперов, кто не в курсе, что вытащить данный вариант SpyEye можно через безопасный режим.

а засветить проблему в uVS - здесь рецепт стандартный.
наличие сэмпла, проведение устойчивого теста с ним, чтобы убедиться - да, он всегда виден только в безопасном режиме,
только в этом случае уже можно обратиться за помощью к разработчику.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.03.2012 14:40:15
Цитата
santy пишет:
каким образом этот критерий сработает если данный вариант не попадает в образ?
Просто для удобства работы.
Да и .exe / может иметь место при обнаружении других угроз.

Теоретический вопрос.
Может ли повлиять наличие блока поисковых критериев "snms" на обнаружение ?
Вроде и нет...
Или всё таки это возможно ?
---------------
Или так:
Новое предложение/идея.
Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям.
Но !
В образ добавятся не вся информация "Добавлены в ручную "- а только  те, объекты, что попали под определение поискового критерия.
т.е. Своего рода Эвристическая проверка системы/списка.
+
В комплексе - проходит Проверка реестра.
Изменено: RP55 RP55 - 24.03.2012 14:43:13
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.03.2012 14:51:32
Цитата
RP55 RP55 пишет:
Может ли повлиять наличие блока поисковых критериев "snms" на обнаружение ?
блок поисковых критериев применяется только к образу или списку автозапуска, на поиск вредоносов в реестре или на диске в момент создания образа он не влияет.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.03.2012 15:02:19
Цитата
santy пишет:
блок поисковых критериев применяется только к образу или списку автозапуска, на поиск вредоносов в реестре или на диске в момент создания образа он не влияет.
А, если так сделать чтобы влиял ?
т.е.:
Цитата
RP55 RP55 пишет:
Предложение/идея. Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям. Но ! В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия. т.е. Своего рода Эвристическая проверка системы/списка. + В комплексе - проходит Проверка реестра.
По типу эвристика в AVZ.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.03.2012 15:23:38
а как
Цитата
RP55 RP55 пишет:
А, если так сделать чтобы влиял ?
а как по твоему должен выполниться поиск по такому критерию.
Цитата
ИМЯ ФАЙЛА=CSRCS.EXE
где должен uVS искать этот файл: по все дискам?
или такой критерий:
Цитата
SAKURA: ЦИФР. ПОДПИСЬ содержит ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SAKURASOFTWARE
проверять цифровые подписи всех файлов и отбирать в образ файлы с данной цифровой подписью,
сколько по времени тогда займут подобные проверки?
Изменено: santy - 24.03.2012 15:26:24
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.03.2012 15:28:39
Цитата
santy пишет:
ИМЯ ФАЙЛА=CSRCS.EXE

где должен uVS искать этот файл: по все дискам?
Возможно так:
Быстрый поиск данных и файлов на NTFS разделах без использования индексирования.
Скорость достигается за счет прямой работы с таблицей MFT раздела.

Или через ADDDIR ( с предварительным отключением A.V. Монитора )
Это минут 10 + - .
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.03.2012 15:42:11
а если ссылка содержит mkdrv - то искать по всему реестру?
------
принцип поиска - это всегда последовательный отбор меньшего из большего, желательно без повторных циклов.

принципы по которым автор добавляет записи в образ самые нормальные.
список известных мест в системе и реестре, где могут находиться находится (и стартовать) вредоносные программы.
если тебе известно новое место в реестре, или новый метод старта в системе - пиши об этом автору, он добавит.

а критерии поиска необходимы для того, чтобы быстро в созданном уже образе (избранных записях) выделить вредоносные и подозрительные программы.
----
по поводу дополнительных эвристик поиска - тут лучше к автору.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 51 52 53 54 55 ... 167 След.
Читают тему