Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Руткит-агент, с цифровой подписью, запускает в системе майнер.
https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a1139­19411e9963/details
хм,
FRST похоже научился распознавать для расширений фаерфокса подписаны они легальной подписью или нет.

FF Extension: (Adblock Plus Pop-up Addon) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqr­z.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-08-28] [Legacy]
FF Extension: (CensureBlock) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqr­z.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-08-28] [Legacy]
FF Extension: (Classic Theme Restorer) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqr­z.WIN-CNQK7VA6BR1\Extensions\[email protected] [2016-10-06] [Legacy]
------------
неплохо.
Цитата
santy написал:
[Legacy]

Тоже обратил внимание, но я где то подобное уже видел.

Думаю, что точное определении слова это: Унаследовано.
Видимо это нужно понимать, как: Перешедшее по наследству от предыдущей версии.
т.е. оно работало со старой версией браузера и после обновления версии браузера осталось.
Цитата
RP55 RP55 написал:
Думаю, что точное определении слова это: Унаследовано.Видимо это нужно понимать, как: Перешедшее по наследству от предыдущей версии.т.е. оно работало со старой версией браузера и после обновления версии браузера осталось.
просто после выхода Firefox на новом движке, они используют другой механизм работы расширений.
может и добавили возможность цифровой подписи расширения.

потому что по другим расширениям указано что not signed

FF Extension: (Menu Editor) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqr­z.WIN-CNQK7VA6BR1\Extensions\{EDA7B1D7-F793-4e03-B074-E6F303317FB0} [2016-06-22] [Legacy] [not signed]
FF Extension: (ProfileSwitcher) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3c8xyqr­z.WIN-CNQK7VA6BR1\Extensions\{fa8476cf-a98c-4e08-99b4-65a69cb4b7d4}.xpi [2016-08-28] [Legacy]


да, согласен,
не факт, что это означает инфо о цифровой подписи, возможно проверка по какому то white листу
Цитата
santy написал:
после выхода Firefox на новом движке, они используют другой механизм работы расширений.может и добавили возможность цифровой подписи расширения.
Старое расширение не будет работать на новой версии браузера.
так например, если расширение не поддерживается разработчиком и не было своевременно обновлено\адаптированно.
+
Браузер автоматически проверяет состояние расширений по их контрольной сумме. ( вариант SHA1 )
Если расширение было повреждено или модифицировано ( без пересчёта\перезаписи контрольных сумм  компонентов расширения )
Браузер такое расширение блокирует.
Получается при:  [not signed] может идти речь о модификации, или о старой не поддерживаемой версии.

Но здесь лучше уточнить у разработчика FRST
Изменено: RP55 RP55 - 05.03.2018 17:34:10
https://www.welivesecurity.com/2018/03/09/new-traces-hacking-team-wild/
краткий перевод статьи здесь
https://xakep.ru/2018/03/27/new-hacking-team-samples/

и здесь
https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-novye-obraztsy-shpionskogo-softa-razrabotchika-hacking-team-/

на Хабре детальный перевод.
https://habrahabr.ru/company/eset/blog/352022/
Цитата
santy написал:
краткий перевод статьи здесь
https://xakep.ru/2018/03/27/new-hacking-team-samples/

и здесь
https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-novye-obraztsy-shpionskogo-softa-razrabotchika-hacking-team-/

на Хабре детальный перевод.
https://habrahabr.ru/company/eset/blog/352022/

Интересная статья, вот только немного недопонял ESET обнаруживает шпионское ПО Hacking Team? Компании которая делает ПО для гос структур!? Или как?
по моему в статье есть все ответы на ваши вопросы.

Цитата
Напомню, что компания Hacking Team продает шпионский софт и инструменты для взлома спецслужбам и полиции по всему миру, в том числе в России. Remote Control System (RCS), флагманский продукт компании, позволяет скачивать файлы с зараженного компьютера, перехватывать письма и сообщения, удаленно управлять веб-камерой и микрофоном.

Цитата
специалисты ESET обнаружили и изучили новые образцы программы. Анализ позволяет с уверенностью утверждать, что разработку продукта продолжает сама Hacking Team.
Читают тему