поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 103 104 105 106 107 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 16:12:23

похоже на этот вариант
http://forum.esetnod32.ru/forum16/topic9167/

Цитата
Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java. Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Цитата

Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

здесь, как раз в папке с агентом этот файлик
javassist

Изменено: santy - 22.06.2013 16:14:25

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 22.06.2013 19:25:58

Цитата
santy пишет: здесь, как раз в папке с агентом этот файлик javassist

Вирлаб сказал что
agent.exe - Win32/Spy.Banker.ZNX trojan

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.06.2013 19:36:09

Лоран Бюньон - старший директор по IdentityMine Inc., является партнером корпорации Microsoft работает с технологиями, такими как Windows Presentation Foundation и Silverlight, Pixelsense - региональная модель, Windows 8, Windows Phone и UX. Он базируется в Цюрихе, Швейцария.
----------
Вполне вероятно, что используется легальная программа для реализации нелегальных операций.
Вызов процедуры.
Конструктор.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.06.2013 19:36:58

zloyDi
Что по подписи ?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 22.06.2013 19:51:50

Цитата
RP55 RP55 пишет: Что по подписи ?

Вирлаб подписи не проверяет, он файлы проверяет, и то что он проверил я указал Выше.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 19:58:40

Цитата
zloyDi пишет: Вирлаб сказал что agent.exe - Win32/Spy.Banker.ZNX trojan

ZloyDi, а сигнатура будет добавлена?
интересно, что ESET детектирует в памяти практически безошибочно, даже без сигнатуры.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.06.2013 20:37:32

Как оказалось:
http://forum.esetnod32.ru/forum6/topic8494/

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.06.2013 20:39:46

+
http://www.xakep.ru/post/60615/default.asp
Кто-то мышей не ловит
инфо от: 16.05.2013

Изменено: RP55 RP55 - 22.06.2013 20:41:57

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 20:54:11

вторая ссылка точно в цель.
дак и здесь вроде описано все.
http://forum.esetnod32.ru/forum16/topic9167/
видимо сбивают детект с файлика agent.exe. днежки большие на кону.

эти файлики все в комплекте здесь

Цитата
«agent.exe», «all.policy», «bifit_a.cfg», «bifit_agent.jar», «javassist.jar».

только каталог изменен. /ibank2

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 22.06.2013 21:48:44

Цитата
santy пишет: ZloyDi, а сигнатура будет добавлена? интересно, что ESET детектирует в памяти практически безошибочно, даже без сигнатуры.

Будет, я уже писал что детект в памяти это расширенная эмуляция или что то в этом роде, в 7 версии они добавят блокировку вируса который будет в памяти, при том что вируса то в самой базе нет

Уже внесли,
https://www.virustotal.com/ru/file/3ea5a9e03e6f7fcad6d275fb2151391e8b278b04aaeca13a88bf5c3075fc8e17/analysis/1371923447/

Изменено: zloyDi - 22.06.2013 21:52:07

Пред. 1 ... 103 104 105 106 107 ... 167 След.