поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 141 142 143 144 145 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.02.2018 05:00:34

Руткит-агент, с цифровой подписью, запускает в системе майнер.
https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/details

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.03.2018 16:19:27

хм,
FRST похоже научился распознавать для расширений фаерфокса подписаны они легальной подписью или нет.

FF Extension: (Adblock Plus Pop-up Addon) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqrz.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-08-28] [Legacy]
FF Extension: (CensureBlock) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqrz.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-08-28] [Legacy]
FF Extension: (Classic Theme Restorer) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqrz.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-10-06] [Legacy]
------------
неплохо.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.03.2018 16:37:10

Цитата
santy написал: [Legacy]

Тоже обратил внимание, но я где то подобное уже видел.

Думаю, что точное определении слова это: Унаследовано.
Видимо это нужно понимать, как: Перешедшее по наследству от предыдущей версии.
т.е. оно работало со старой версией браузера и после обновления версии браузера осталось.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.03.2018 17:06:34

Цитата
RP55 RP55 написал: Думаю, что точное определении слова это: Унаследовано.Видимо это нужно понимать, как: Перешедшее по наследству от предыдущей версии.т.е. оно работало со старой версией браузера и после обновления версии браузера осталось.

Цитата

RP55 RP55 написал:
Думаю, что точное определении слова это: Унаследовано.Видимо это нужно понимать, как: Перешедшее по наследству от предыдущей версии.т.е. оно работало со старой версией браузера и после обновления версии браузера осталось.

просто после выхода Firefox на новом движке, они используют другой механизм работы расширений.
может и добавили возможность цифровой подписи расширения.

потому что по другим расширениям указано что not signed

FF Extension: (Menu Editor) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqrz.WIN-CNQK7VA6BR1\Extensions\{EDA7B1D7-F793-4e03-B074-E6F303317FB0} [2016-06-22] [Legacy] [not signed]
FF Extension: (ProfileSwitcher) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqrz.WIN-CNQK7VA6BR1\Extensions\{fa8476cf-a98c-4e08-99b4-65a69cb4b7d4}.xpi [2016-08-28] [Legacy]

да, согласен,
не факт, что это означает инфо о цифровой подписи, возможно проверка по какому то white листу

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.03.2018 17:27:43

Цитата
santy написал: после выхода Firefox на новом движке, они используют другой механизм работы расширений.может и добавили возможность цифровой подписи расширения.

Старое расширение не будет работать на новой версии браузера.
так например, если расширение не поддерживается разработчиком и не было своевременно обновлено\адаптированно.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.03.2018 17:33:01

+
Браузер автоматически проверяет состояние расширений по их контрольной сумме. ( вариант SHA1 )
Если расширение было повреждено или модифицировано ( без пересчёта\перезаписи контрольных сумм компонентов расширения )
Браузер такое расширение блокирует.
Получается при: [not signed] может идти речь о модификации, или о старой не поддерживаемой версии.

Но здесь лучше уточнить у разработчика FRST

Изменено: RP55 RP55 - 05.03.2018 17:34:10

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.04.2018 08:21:05

https://www.welivesecurity.com/2018/03/09/new-traces-hacking-team-wild/

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2018 11:04:22

краткий перевод статьи здесь
https://xakep.ru/2018/03/27/new-hacking-team-samples/

и здесь
https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-novye-obraztsy-shpionskogo-softa-razrabotchika-hacking-team-/

на Хабре детальный перевод.
https://habrahabr.ru/company/eset/blog/352022/

[ Как создать образ автозапуска? ]

Сообщений: 20

Баллов: 10

Регистрация: 19.02.2018

Размещено 17.04.2018 10:02:52

Цитата
santy написал: краткий перевод статьи здесь https://xakep.ru/2018/03/27/new-hacking-team-samples/ и здесь https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-novye-obraztsy-shpionskogo-softa-razrabotchika-hacking-team-/ на Хабре детальный перевод. https://habrahabr.ru/company/eset/blog/352022/

Интересная статья, вот только немного недопонял ESET обнаруживает шпионское ПО Hacking Team? Компании которая делает ПО для гос структур!? Или как?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.04.2018 10:06:46

по моему в статье есть все ответы на ваши вопросы.

Цитата
Напомню, что компания Hacking Team продает шпионский софт и инструменты для взлома спецслужбам и полиции по всему миру, в том числе в России. Remote Control System (RCS), флагманский продукт компании, позволяет скачивать файлы с зараженного компьютера, перехватывать письма и сообщения, удаленно управлять веб-камерой и микрофоном.

Цитата

Напомню, что компания Hacking Team продает шпионский софт и инструменты для взлома спецслужбам и полиции по всему миру, в том числе в России. Remote Control System (RCS), флагманский продукт компании, позволяет скачивать файлы с зараженного компьютера, перехватывать письма и сообщения, удаленно управлять веб-камерой и микрофоном.

Цитата
специалисты ESET обнаружили и изучили новые образцы программы. Анализ позволяет с уверенностью утверждать, что разработку продукта продолжает сама Hacking Team.

[ Как создать образ автозапуска? ]

Пред. 1 ... 141 142 143 144 145 ... 167 След.