поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 102 103 104 105 106 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.06.2013 13:25:08

вот эту цепочку

Цитата
цифровая подпись содержит "проверка не производилась" или "Отсутствует либо ее не удалось проверить"

можно заменить одним выражением

Цитата
цифровая подпись не содержит "ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION"

примеры

Цитата
Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\CLUOX32.KS Имя файла CLUOX32.KS Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Статус ВИРУС Сигнатура tr.Corkow [глубина совпадения 13(44), необх. минимум 8, максимум 64] Сигнатура tr.Corkow [глубина совпадения 13(45), необх. минимум 8, максимум 64] Удовлетворяет критериям CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1) FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1) Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Размер 346624 байт Создан 04.06.2012 в 19:27:18 Изменен 04.06.2012 в 19:27:18 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL ServiceDLL %CommonProgramFiles%\Services\cluox32.ks

Цитата

Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\CLUOX32.KS
Имя файла CLUOX32.KS
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

Статус ВИРУС
Сигнатура tr.Corkow [глубина совпадения 13(44), необх. минимум 8, максимум 64]
Сигнатура tr.Corkow [глубина совпадения 13(45), необх. минимум 8, максимум 64]

Удовлетворяет критериям
CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1)
FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер 346624 байт
Создан 04.06.2012 в 19:27:18
Изменен 04.06.2012 в 19:27:18
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL
ServiceDLL %CommonProgramFiles%\Services\cluox32.ks

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT CORPORATION\JGSPROD.SFI Имя файла JGSPROD.SFI Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура Corkow.A [NOD32] [глубина совпадения 33(60), необх. минимум 8, максимум 64] Удовлетворяет критериям CORKOW.SYSTRAY (ССЫЛКА ~ SHELLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1) CORKOW.CLSID (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 130560 байт Создан 08.10.2011 в 22:03:57 Изменен 08.10.2011 в 22:03:57 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray Ссылка HKEY_USERS\S-1-5-21-2052111302-492894223-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT CORPORATION\JGSPROD.SFI
Имя файла JGSPROD.SFI
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура Corkow.A [NOD32] [глубина совпадения 33(60), необх. минимум 8, максимум 64]

Удовлетворяет критериям
CORKOW.SYSTRAY (ССЫЛКА ~ SHELLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1)
CORKOW.CLSID (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 130560 байт
Создан 08.10.2011 в 22:03:57
Изменен 08.10.2011 в 22:03:57
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

Ссылка HKEY_USERS\S-1-5-21-2052111302-492894223-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата
Полное имя C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3 Имя файла SYSRCPL.RC3 Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура tr.Corkow [глубина совпадения 43(55), необх. минимум 8, максимум 64] Сигнатура tr.Corkow [глубина совпадения 43(55), необх. минимум 8, максимум 64] Удовлетворяет критериям CORKOW.CLSID (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 254464 байт Создан 02.10.2011 в 16:25:01 Изменен 02.10.2011 в 16:25:01 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата

Полное имя C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3
Имя файла SYSRCPL.RC3
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура tr.Corkow [глубина совпадения 43(55), необх. минимум 8, максимум 64]
Сигнатура tr.Corkow [глубина совпадения 43(55), необх. минимум 8, максимум 64]

Удовлетворяет критериям
CORKOW.CLSID (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 254464 байт
Создан 02.10.2011 в 16:25:01
Изменен 02.10.2011 в 16:25:01
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Изменено: santy - 12.06.2013 13:36:13

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.06.2013 18:22:51

Вот...
И теперь всё это в один критерий, под одним именем: CORKOW.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.06.2013 18:41:31

это непринципиально.
или все условия в одном критерии , или существуют три отдельных критерия: corkow.1, corkow.2, corkow,3 и все рядышком в списке.
(тем более, что без логических скобок их невозможно объединить.)

достаточно чтобы отдельный критерий перехватывал один из вариантов трояна.

скажем через сетку из трех данных критериев может просочиться только четвертый вариант Corkow - тот, что стартует через rundll32

(если будет реализован рекурсивный критерий, тогда можно будет оптимизировать критерии.)

Изменено: santy - 12.06.2013 18:59:11

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 15:49:41

интересно, на основании чего ESET sysinspector присвоил рейтинг безопасности подозрительному файлу

Цитата
"bifit_agent" = "C:\Users\User\AppData\Roaming\iBank2\agent.exe" ( 2: Безопасно ) ; TODO: <Описание файла> ; TODO: <Название компании> ;

http://forum.esetnod32.ru/forum6/topic9659/

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.06.2013 15:51:17

Возможно на основании цифровой подписи.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 15:55:31

да, здесь цифровая подпись вводит в заблуждение.
я тоже крутил образ по всякому, потом отменил статус проверенные и выбрал фильтр по дате. так и обнаружился этот файл.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.06.2013 15:56:29

файл на глаза сразу же попался, но тоже цифровая подпись его спасла

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 16:00:45

цифровая все таки подозрительная

Цитата
Цифр. подпись Действительна, подписано IdentityMine Inc

но еще больше вот это инфо

Цитата
Описание TODO: <Описание файла> Производитель TODO: <Название компании>

кстати, довольно часто встречается, и не всегда у зловредов.
что это может означать.
-------
может, какая то инфо не попала при компиляции файла? и остались поля незаполненные

Изменено: santy - 22.06.2013 16:01:48

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.06.2013 16:01:28

какие-то лентяи файл компилировали

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2013 16:02:17

Цитата
Арвид пишет: какие-то лентяи файл компилировали

вот-вот, тоже подумал такое

[ Как создать образ автозапуска? ]

Пред. 1 ... 102 103 104 105 106 ... 167 След.