поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 76 77 78 79 80 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.08.2012 16:07:29

Как закончиться эпоха сигнатур.

" Ключевая особенность в том, что сборка рабочего тела по заданным инструкциям повторяется на каждом заражённом компьютере, но каждый раз задействуются новые гаджеты, так что бинарник вируса в каждом случае получается уникальным. За счёт этой особенности вредоносную программу практически невозможно обнаружить по базе вирусных сигнатур."

http://www.xakep.ru/post/59187/

" Учёные по заказу армии США разработали образец вируса, который самособирается из фрагментов ПО, установленного на компьютере жертвы. Концептуальной разработке дали название Frankenstein."

" Предыдущие исследования в данной области показали теоретическую возможность конструирования ПО таким способом, если доступно достаточное количество гаджетов. Теперь эта теория доказана на практике."

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.08.2012 08:05:04

уже не раз, и не два при заражении встречается такой файл Visual Basic Command Line Compiler (vbc.exe) под разными именами бывает в автозапуске.
вполне возможно что сборка новых исполняемых модулей вирусяк выполняется на стороне пользователя.

Изменено: santy - 24.08.2012 08:14:15

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.09.2012 15:18:35

А зачем здесь нужен безопасный режим ?

для скрипта

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.09.2012 16:31:31

Недоглядел наверное Александр. Бывает.
Исправил.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.09.2012 16:56:19

затем.

Цитата
Полное имя C:\RECYCLE.BIN\B6232F3A86E.EXE Имя файла B6232F3A86E.EXE Тек. статус [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Размер 154471 байт Создан 09.02.2009 в 13:57:06 Изменен 09.12.2010 в 18:15:49 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 9434061DA98BF2D7D1B1FF63F5CB3CB097340F65 MD5 BA17456781F79614A350C732458AB46A

Цитата

Полное имя C:\RECYCLE.BIN\B6232F3A86E.EXE
Имя файла B6232F3A86E.EXE
Тек. статус [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 154471 байт
Создан 09.02.2009 в 13:57:06
Изменен 09.12.2010 в 18:15:49
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 9434061DA98BF2D7D1B1FF63F5CB3CB097340F65
MD5 BA17456781F79614A350C732458AB46A

Изменено: santy - 08.09.2012 16:58:15

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.09.2012 17:08:51

Не удивлен. Spy.Eye ведь может скрывать не только свое тело, но и записи в реестре свои. Вот uVS и не увидел ничего в реестре (в ветке Run).

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.09.2012 17:10:38

потому и нужен образ в безопасном режиме. и лог журнала. (Не торопись сразу все удалять. есть непонятки, значит нужные еще логи под другим углом зрения.)

Изменено: santy - 08.09.2012 17:15:13

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.09.2012 21:59:16

уже история.
http://chklst.ru/forum/discussion/76/kak-udalit-bekdor-crexv-i-vosstanovit-normalnuyu-rabotu-menyu-pusk-v-xpvistaseven#Item_1

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.09.2012 23:42:11

Santy значит и свой исторический сайт есть

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.09.2012 07:20:10

угу, время собирать камни - подумал пролетарий.

[ Как создать образ автозапуска? ]

Пред. 1 ... 76 77 78 79 80 ... 167 След.