Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 54 55 56 57 58 ... 167 След.
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 27.03.2012 15:19:42
Цитата
но там миллион запросов разных
Ну да, хотя для некоторых запросов можно "Временно запретить" сделать.
Я к тому, что вряд ли включенная HIPS дает этим зловредам проникнуть в систему.
А сигнатуры, ясное дело, далеко не всегда успевают обновляться.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.03.2012 01:36:04
uVS явно уже не справляется с обнаружением актуальных модификаций.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 28.03.2012 07:02:50
надо отбирать сэмплы SpyEye, Carberp которые детектируются в безопасном режиме с пометкой для uVS. возможно есть привязка к конкретной машине, и поведение троянов будет другим при запусках на тестовых машинах.
----
хм, неужели помощь подоспела?
http://www.group-ib.ru/index.php/7-novosti/589-zaderzhany-uchastniki-krupnejshej-prestupnoj-gruppy-zanimavshejsya-moshennichestvami-v-sistemakh-internet-bankinga%22

скорее всего только одна из групп распространителей
Цитата
Участники группы занимались массовым распространением специализированных «банковских» троянских программ типа «Carberp» и «RDP-door», с помощью которых получали полный доступ к персональным компьютерам большого количества организаций, использовавшихся для работы с системами «Банк-Клиент».
здесь подробное описание функционала Carberp
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fCarberp
и SpyEye
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fEyeStye
Изменено: santy - 28.03.2012 10:13:32
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.03.2012 21:46:25
Я в шоке со Spy.Shiz. Он пробивает HIPS Нода и антивирусу пофиг - он даже не показываем уведомление что в Winlogon\Userinit что-то прописалось. Хотя все включено и настроено - на эти параметры стоит полный запрет и уведомление. Запускаю вирус - он прописывается удачно. Лезу в реестр - вижу эту запись, хочу удалить, Нод говорит что запрещено и редактор реестр тоже нафиг посылает. Что за фигня? Кому жаловаться?
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.03.2012 21:56:25
Цитата
Арвид пишет:
Я в шоке со Spy.Shiz. Он пробивает HIPS Нода и антивирусу пофиг - он даже не показываем уведомление что в Winlogon\Userinit что-то прописалось. Хотя все включено и настроено - на эти параметры стоит полный запрет и уведомление. Запускаю вирус - он прописывается удачно. Лезу в реестр - вижу эту запись, хочу удалить, Нод говорит что запрещено и редактор реестр тоже нафиг посылает. Что за фигня? Кому жаловаться?

А, если настроить уведомление на изменение файлов реестра - Что будет ?
Изменено: RP55 RP55 - 28.03.2012 21:56:43
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.03.2012 22:19:18
Нод вообще не реагирует на 4 новые записи в реестре на автостарт :(
Сейчас проверю на других двух машинках. Страшный фейл.
Правильно заданный вопрос - это уже половина ответа
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 28.03.2012 22:20:42
Арвид, ты это все опиши в файлик и мне в личку + файл вируса + файл конфига, напишу разрабам.
Изменено: zloyDi - 28.03.2012 22:21:40

 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.03.2012 22:20:52
Цитата
Арвид пишет:
Нод вообще не реагирует на 4 новые записи в реестре на автостарт smile:( Сейчас проверю на других двух машинках. Страшный фейл.
Я о файлах реестра.
Неужели на их изменение тоже не реагирует ?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.03.2012 22:21:44
Цитата
RP55 RP55 пишет:
Неужели на их изменение тоже не реагирует ?
угу. ноль эмоций. а если руками что-то править - орет сволочь
zloyDi,
еще пару раз проверю - потом

Хм, а русский дистриб нормально работает. Теперь надо переставить инглиш версию и проверить еще раз.

Нет, все-таки глюк есть. Сложно описать если честно. Можно самому это проверить на виртуалке. Ну или могу дать цифры Тима для проверки
Изменено: Арвид - 28.03.2012 22:41:12
Правильно заданный вопрос - это уже половина ответа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.03.2012 03:38:22
Короче, есть и глюки антивируса и еще какое-то чудо. После переустановки антивируса нормально заработал HIPS, а до этого с ума сходил странным образом.
Состряпал от нечего делать батник новый который от Spy.Shiz спасает :D
Этот гад не прописывает себя каждую секунду в отличии от многих других, то есть можно поудалять 5 ссылок в реестре и перезагрузиться спокойно - вируса не будет.
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 54 55 56 57 58 ... 167 След.
Читают тему