поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 95 96 97 98 99 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.03.2013 16:29:47

http://dsrt.dyndns.org/files/uvsz_v3778.zip

Цитата
В планах добавить virscan.org Восстановлена работа с VT и JT Из подменю SystemExplorer убран поиск по хэшу за отсутствием оного. В планах добавить virscan.org

Цитата
Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\BITV80A.API Имя файла BITV80A.API Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] www.virustotal.com 2013-02-22 [2013-01-31 16:57:07 UTC ( 4 weeks, 1 day ago )] Symantec WS.Reputation.1 Avast Win32:Malware-gen Kaspersky Trojan-Dropper.Win32.Metel.k BitDefender Trojan.Dropper.UVO AntiVir TR/Kazy.41754.3 ESET-NOD32 Win32/Corkow.I Удовлетворяет критериям CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (SERVICEDLL !~ SRVSVC.DLL)(1) Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL ServiceDLL %CommonProgramFiles%\Services\bitv80a.api

Цитата

Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\BITV80A.API
Имя файла BITV80A.API
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

www.virustotal.com 2013-02-22 [2013-01-31 16:57:07 UTC ( 4 weeks, 1 day ago )]
Symantec WS.Reputation.1
Avast Win32:Malware-gen
Kaspersky Trojan-Dropper.Win32.Metel.k
BitDefender Trojan.Dropper.UVO
AntiVir TR/Kazy.41754.3
ESET-NOD32 Win32/Corkow.I

Удовлетворяет критериям
CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (SERVICEDLL !~ SRVSVC.DLL)(1)

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL
ServiceDLL %CommonProgramFiles%\Services\bitv80a.api

Изменено: santy - 02.03.2013 16:34:36

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 07.03.2013 16:16:41

http://forum.esetnod32.ru/forum27/topic8954/

Цитата
santy пишет: похоже Winlogon основательно зачищен

даже если чистили до этого, regt 12 должен был решить проблему с записями реестра - восстановить userinit и shell

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.03.2013 17:04:20

ну, я тоже об этом подумал, из нового образа будет видно - выполнится скрипт на целевой системе или нет.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 01.04.2013 16:43:31

Про нового зверя вероятно стоит дать информацию на Anti-Malware.ru ( в том числе и в теме по uVS = критерий поиска/алгоритм)
И здесь, для тех кто читает осветить тему ?
Народ - то мучается.

Требование: $ < > & < > SMS
Блокировка соц.сетей & почты = пере-адресация.
Задействована: RPCSS.DLL
Distributed COM Services - Microsoft Corporation
Автозапуск > SAFE_MODE_SVCHOST
Метод: Модификация.
Создан - Изменён - Данные = маскировка = нет соответствия текущей дате.
Проверка на сервисе: VirusTotal - Файл НЕ определяется как угроза.
Цифр.Подпись: Отсутствует.
Типичная форма запроса со стороны пользователя: " Не пускает в соц сети и почту. Требует СМС "
Решение: Замещение файла с Live СD
Для : Win XP > Если версия dll меньше 5755, поможет установка хотфикса: WindowsXP-KB956572-x86-RUS.exe
http://www.microsoft.com/ru-ru/download/details.aspx?id=15124
Соответственно файл будет замещён новой версией. + ( restart )
Вероятное распространение угрозы: phishing - сайт > уязвимость и т.д...

Описание службы:
http://www.oszone.net/2590
http://www.pssystem.ru/3/Index9.htm

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum
Особая благодарность: Vvvyg; Santy; zloyDi
На данный момент проблема изучается специалистами компании ESET
На данный момент нет антивирусов/компаний которые способны автоматически выявить заражение.
Проблема решается на форумах: pchelpforum.ru & esetnod32.ru

Изменено: RP55 RP55 - 01.04.2013 16:47:26

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2013 17:46:40

вирлабам видимо не до решения проблемы доступа к VK. весь день сочиняют первоапрельскую шутку.

Цитата
"Лаборатория Касперского", ведущий российский производитель систем компьютерной безопасности, сообщает об обнаружении нового сетевого червя. По мнению специалистов компании, по своей сложности он значительно превосходит не только существующие ныне вредоносные программы, включая профессиональные шпионские кибератаки и кибероружие, но и любое другое известное программное обеспечение. Дизассемблированием и анализом нового компьютерного червя занимаются лучшие эксперты "Лаборатории", однако они столкнулись с чрезвычайно сложными компьютерными алгоритмами и изощрёнными способами кодирования.

Цитата

"Лаборатория Касперского", ведущий российский производитель
систем компьютерной безопасности, сообщает об обнаружении нового
сетевого червя. По мнению специалистов компании, по своей сложности он
значительно превосходит не только существующие ныне вредоносные
программы, включая профессиональные шпионские кибератаки и кибероружие,
но и любое другое известное программное обеспечение.

Дизассемблированием и анализом нового компьютерного червя занимаются
лучшие эксперты "Лаборатории", однако они столкнулись с
чрезвычайно сложными компьютерными алгоритмами и изощрёнными способами
кодирования.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 14:29:40

+ детект файликов rpcss.dll
(как говорится, не пропадет ваш скорбный труд....

)

Цитата
+ E:\distr_temp\users_uvs\rpcss.dll\Новая папка\Новая папка\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss.dll - Win32/Patched.IB троянская программа E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1.rar = RAR = rpcss.dll - Win32/Patched.IB троянская программа E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\rpcss3\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\rpcss2\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\windows7x64\1\rp css.dll - Win64/Patched.E троянская программа

Цитата

+
E:\distr_temp\users_uvs\rpcss.dll\Новая папка\Новая папка\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1.rar = RAR = rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss3\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss2\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\windows7x64\1\rp css.dll - Win64/Patched.E троянская программа

-------------
Win32/Patched.IB [Threat Name]
Date Added Apr 02 2013
http://www.virusradar.com/en/Win32_Patched.IB/detail

Изменено: santy - 03.04.2013 14:40:23

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2013 16:35:18

Цитата
santy пишет: детект файликов...

Мало найти - нужно пролечить.
Что по лечению ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 16:56:35

пока и на этом спасибо вирлабу eset - задетектили проблему.
а по лечению предлагаю завести папку с модифицированными файлами rpcss.dll
и периодически ее сканировать.

как только выпадет опция - вылечить - значит проблема решена с лечением.
(по мне, так в данном случае лучше заменить модифицированный файл чистым системным, поскольку и троянец проделал тоже самое. переименовал оригинальный ФАЙЛ, и на освободившееся место вписал свой модифицированный.)

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 03.04.2013 16:57:35

Цитата
RP55 RP55 пишет: Что по лечению ?

Вирлаб просит найти переименованные файлы
user rpcss_3_.dll - c:\windows\system32\ikom.euc
user rpcss.dll - c:\windows\system32\cuoa.cgw
user rpcss_2_.dll - c:\windows\system32\kogh.kuo

Если кто богат, прошу скинуть на почту.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 17:10:23

это надо запросить у тех, кто выслал файлы в почту, благо электронные адреса их есть

запросил файлы в почте

детект проблемы на сейчас.
https://www.virustotal.com/ru/file/34537e9a06b2ef2a6a3b2459a823fb50d4e54c3259fd0925b3686c2f9f9b343d/analysis/1364994386/

Изменено: santy - 03.04.2013 17:19:49

[ Как создать образ автозапуска? ]

Пред. 1 ... 95 96 97 98 99 ... 167 След.