поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

похоже на этот вариант
http://forum.esetnod32.ru/forum16/topic9167/

Цитата
Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

здесь, как раз в папке с агентом этот файлик
javassist
Изменено: santy - 22.06.2013 16:14:25
Цитата
santy пишет:
здесь, как раз в папке с агентом этот файлик
javassist

Вирлаб сказал что
agent.exe - Win32/Spy.Banker.ZNX trojan
Лоран Бюньон - старший директор по IdentityMine Inc., является партнером корпорации Microsoft работает с технологиями, такими как Windows Presentation Foundation и Silverlight, Pixelsense - региональная модель, Windows 8, Windows Phone и UX. Он базируется в Цюрихе, Швейцария.
----------
Вполне вероятно, что используется легальная программа для реализации нелегальных операций.
Вызов процедуры.
Конструктор.
zloyDi
Что по подписи ?
Цитата
RP55 RP55 пишет:
Что по подписи ?
Вирлаб подписи не проверяет, он файлы проверяет, и то что он проверил я указал Выше.
Цитата
zloyDi пишет:
Вирлаб сказал что
agent.exe - Win32/Spy.Banker.ZNX trojan
ZloyDi, а сигнатура будет добавлена?
интересно, что ESET детектирует в памяти практически безошибочно, даже без сигнатуры.
Как оказалось:
http://forum.esetnod32.ru/forum6/topic8494/
+
http://www.xakep.ru/post/60615/default.asp
Кто-то мышей не ловит
инфо от: 16.05.2013
Изменено: RP55 RP55 - 22.06.2013 20:41:57
вторая ссылка точно в цель.
дак и здесь вроде описано все.
http://forum.esetnod32.ru/forum16/topic9167/
видимо сбивают детект с файлика agent.exe. днежки большие на кону.

эти файлики все в комплекте здесь
Цитата
«agent.exe», «all.policy», «bifit_a.cfg», «bifit_agent.jar», «javassist.jar».
только каталог изменен. /ibank2
Цитата
santy пишет:
ZloyDi, а сигнатура будет добавлена?
интересно, что ESET детектирует в памяти практически безошибочно, даже без сигнатуры.

Будет, я уже писал что детект в памяти это расширенная эмуляция или что то в этом роде, в 7 версии они добавят блокировку вируса который будет в памяти, при том что вируса то в самой базе нет  :)

Уже внесли,
https://www.virustotal.com/ru/file/3ea5a9e03e6f7fcad6d275fb2151391e8b278b04aaeca13a­88bf5c3075fc8e17/analysis/1371923447/
Изменено: zloyDi - 22.06.2013 21:52:07
Читают тему (гостей: 1)