поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 138 139 140 141 142 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.05.2017 12:39:15

В случае например совместной установки: Comodo Firewall и Kaspersky AV
Важен именно порядок: вначале установить: Kaspersky AV и только после этого Comodo Firewall

В случае с ESET я бы сделал наоборот вначале установил: Comodo Firewall и после этого ESET A.V.

Изменено: RP55 RP55 - 20.05.2017 12:39:54

Сообщений: 8

Баллов: 4

Регистрация: 15.05.2017

Размещено 22.05.2017 10:16:02

Сообщения не видел, попробовал установить Comodo Firewall к уже установленному ESET AV.
На практике, в теории они сосуществовать могут.
Но данный firewall слишком серьезно потребляет ОЗУ и не поддерживает Game Mode для игр с динамическим содержимым,
поэтому в итоге его снес. Отдельное неприятное впечатление оставило "неотменяемая" (по факту) установка их различных приблуд.
Тем не менее, все они шли с unins и в итоге без проблем были удалены.
=================================================
Есть другой интересный вопрос.
Где-то год назад, когда еще шифровальщики не были "в моде", во время серфинга на одном "доверенном" сайте внезапно выплыло окно pop-up
и попыталось загрузить некий zip-файл (антивирус вида не подал, перехватила другая утилита). Разумеется, ничего хорошего там быть по идее не могло.
На практике, изолировав его от браузера, открыл (не распаковывая) этот zip-файл WinRAR'ом. Внутри были какие-то папки с каким-то непонятным хламом
непонятного расширения (командных/скриптовых/swf файлов не было). Сложилось впечатление, что это какой-то набор эксплойтов, сайт отправил в блэк-лист,
линки в поддержку, начал смотреть за активностью системы, но ничего по факту не произошло (вообще ничего, проверял различными утилитами).

Что вообще должно было произойти? (по замыслу "писателей" того вирусного php-скрипта на том pop-up сайте)

Изменено: Axel Holsky - 22.05.2017 10:18:07

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.05.2017 17:21:32

Цитата
Axel Holsky написал: данный firewall слишком серьезно потребляет ОЗУ

А здесь нужно смотреть настройки и какие функции активны.

Цитата
Axel Holsky написал: Что вообще должно было произойти?

По прошествии времени и не имея на руках файлов - сказать сложно.
Но сейчас в 93% случаев устанавливают различные рекламные агенты.
А файлы нужно проверять здесь: https://www.virustotal.com/
( желательно недели через две там же делать повторную проверку файла )

Цитата
Axel Holsky написал: Где-то год назад, когда еще шифровальщики не были "в моде"

Шифровальщики в моде уже лет пять.
Смотрите даты создания тем: http://forum.esetnod32.ru/forum35/?PAGEN_1=1

Сообщений: 8

Баллов: 4

Регистрация: 15.05.2017

Размещено 23.05.2017 09:04:59

Цитата
А здесь нужно смотреть настройки и какие функции активны.

Даже если многие отключить - все равно достаточно потребляет.
Хотя если ОЗУ на компе 8+ Гб, то там это не будет так заметно, но это не мой случай.

Цитата
Шифровальщики в моде уже лет пять. Смотрите даты создания тем: http://forum.esetnod32.ru/forum35/?PAGEN_1=1

Хм, надо же... предполагал, что они появились лишь как смена устаревших winlock-вирусов :)

Цитата
По прошествии времени и не имея на руках файлов - сказать сложно.

Учитывая, что тогда это был первый такой странный случай, предположил, что потом может быть
следом прилетит еще какой-нибудь подарочек (дополнительная нагрузка) к этому zip-у,
поэтому и его сразу утилизовал, и IP сменил.
Но ссылку на его скачивание в поддержку отправлял.
Вообще тот сайт что-то вроде площадки для прямого распространения последних троянов.
В Касперском даже он внесен в url-блэклист (жаль, что в ESET до этого не додумались).

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.05.2017 09:39:03

Цитата
Хм, надо же... предполагал, что они появились лишь как смена устаревших winlock-вирусов

какое то время они еще мирно существовали

, но теперь локеры существенно модернизировались.
например такие как Petja Ransomware которые и блокируют загрузку системы, и шифруют MFT.

Цитата
В Касперском даже он внесен в url-блэклист (жаль, что в ESET до этого не додумались).

(у ESET он так же есть.) а в целях безопасности вы можете добавить этот адрес в личный список блокирования URL.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.06.2017 07:41:43

https://www.anti-malware.ru/news/2017-06-19/23193

Цитата
«Он внедряет свой код в процесс Windows svchost.exe, а основной файл вымогателя удаляется. Это довольно мощная атака, так как после этого легитимный процесс svchost.exe осуществляет выполнение вредоносной нагрузки (шифрование файлов)»

Цитата

«Он внедряет свой код в процесс Windows svchost.exe, а основной файл вымогателя удаляется. Это довольно мощная атака, так как после этого легитимный процесс svchost.exe осуществляет выполнение вредоносной нагрузки (шифрование файлов)»

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.06.2017 11:33:49

кстати, есть полезные темы на форуме eset.com

WMI infected:
https://forum.eset.com/topic/12134-wmi-infections/

SOREBRECT "fileless" Ransomware:
https://forum.eset.com/topic/12336-sorebrect-fileless-ransomware/

автоперевод:

Цитата
Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его. Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме. Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.

Цитата

Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его.

Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме.

Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.

Цитата
Скрытность SOREBRECT может создавать проблемы Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT. Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.

Цитата

Скрытность SOREBRECT может создавать проблемы

Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT.

Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.06.2017 05:03:05

Интересно, что в качестве шифратора в SOREBRECT используется уже известный нам шифратор AES_NI

Цитата
The Trojan appends the following string to the end of encrypted file names: .aes_ni_0day Next, the Trojan drops the following file in every location where files have been encrypted: [PATH TO ENCRYPTED FILES]\!!! READ THIS - IMPORTANT !!!.txt The .txt file is a ransom note demanding payment for the files to be decrypted.

или Symantec чего то путает?
https://www.symantec.com/security_response/writeup.jsp?docid=2017-061913-4515-99&tabid=2

Или SOREBRECT и AES_NI это разные названия одного и того же шифратора.
(который нам известен как AES_NI)

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.06.2017 04:55:43

интересный диалог.

My question was specifically if ESET can detect and protect against this kind of threat (or even this threat specifically if a few of our other procedures and systems fail). Does ESET not detect the malicious code injection into a trusted process (where it injects it's code into svchost.exe, then encrypts files, deletes logs, adds registry keys, etc)? Even a dictionary/hash based detection?

Обнаружит ли ESET инъекцию вредоносного кода в доверенный процесс и защитит ли от такой угрозы(где он вводит свой код в файл svchost.exe, затем шифрует файлы, удаляет журналы, добавляет ключи реестра и т. Д.)?

Цитата
My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period. Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do. Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same.

Цитата

My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period.

Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do.

Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.07.2017 09:31:35

детальный отчет по Statinko

https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf

[ Как создать образ автозапуска? ]

Пред. 1 ... 138 139 140 141 142 ... 167 След.