поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 149 150 151 152 153
это и понятно, что удалить не сможет,
но если видит ключ скрытого (из норм и безопасного режима) сервиса в реестре (т.е. руткита), чего не увидел специализированный антируткит tdsskilller - уже хорошо.

Цитата
"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION => Error: No automatic fix found for this entry.
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service) => Error: No automatic fix found for this entry.

понятно, что и на VT улетел файл нулевого размера, а удаление данного файла после перезагрузки самой системой под вопросом,
скорее всего руткит отменит это задание.

Цитата

VirusTotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys => https://www.virustotal.com/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca49­5991b7852b855/analysis/1591036135/
Could not move "C:\WINDOWS\system32\Drivers\Wdf41348.sys" => Scheduled to move on reboot.

uVS тоже ничего не смог сделать из нормального режима.

Цитата
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
\\?\C:\USERS\PHGOGIN\FAVORITES\DOWNLOADS\UVS\SUPPORT\ZOO\WDF41348.SYS.---
Не удалось скопировать файл [Отказано в доступе. ]

Удаление файлов...
C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS будет удален после перезагрузки
Adobe призвала пользователей удалить Flash Player

Компания Adobe призвала пользователей удалить Adobe Flash Player со своих компьютеров к 31 декабря 2020 года — сроку окончания поддержки программы (End of Life, EOL).

По словам представителей Adobe, как только Flash Player достигнет статуса EOL, компания не только прекратит предоставлять обновления, но также намерена удалить все ссылки для загрузки Flash Player со своего web-сайта. Таким образом пользователи не смогут устанавливать программное обеспечение и продолжать использовать неподдерживаемую версию.

Adobe также заявила, что «Flash-контент будет заблокирован для запуска в Adobe Flash Player после 31 декабря 2020 года. Предположительно, компания уже добавила или планирует добавить так называемую «бомбу замедленного действия» в коде Flash Player с целью предотвратить использование программы после достижения EOL.

Причина подобных действий заключается в том, что Flash Player часто оказывалась целью киберпреступников и разработчиков вредоносных программ. Как только Flash Player достигнет EOL в конце года, Adobe не будет выпускать обновления безопасности, подвергая пользователей Flash риску атак.

https://www.securitylab.ru/news/509394.php
Похоже интересная тема: https://safezone.cc/threads/pojavljaetsja-majner-nagruzhajuschij-cpu.35522/
Цитата
RP55 RP55 написал:
Похоже интересная тема:  https://safezone.cc/threads/pojavljaetsja-majner-nagruzhajuschij-cpu.35522/
да, тема интересная, но без логов неинтересная, к тому же судя по развитию, анализа не будет, просто зачистят с помощью KVRT
Если ориентироваться на: startup\driver.url


https://www.elektroda.pl/rtvforum/topic3597551.html

Анализ файлов похожей модификации: https://app.any.run/tasks/c578e0e9-b06a-459c-8952-ecc6bb9da88d/

https://vms.drweb.ru/virus/?i=18215785&lng=ru

Внедряет код в
следующие системные процессы:

%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
да, что-то похожее, по каталогу и файлу из стартапа, но интереснее будет посмотреть что в образ попало. (и как там это представлено) возможно будут потоки, а может быть через powershell можно что-то увидеть
Точно он: https://vms.drweb.ru/virus/?i=21410737&lng=ru

<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Driver' = '%APPDATA%\Sysfiles\<Имя файла>.exe'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\driver.url

Создает следующие сервисы

<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%APPDATA%\Sysfiles\WinRing0x64.sys'
похоже,
будет образ, посмотрим что там есть.
интересно, что что пока все попытки пролечить систему (судя по теме) не удались. по какой-то причине происходит восстановление зловредов
Разработчики вредоносного ПО теперь проверяют, работает ли их вредоносное ПО в службе анализа вредоносного ПО Any.Run, чтобы исследователи не могли легко проанализировать их.

Any.Run - это песочница для анализа вредоносных программ, которая позволяет исследователям и пользователям безопасно анализировать вредоносные программы без риска для их компьютеров.

Когда исполняемый файл передается в Any.Run, служба песочницы создаст виртуальную машину Windows с интерактивным удаленным рабочим столом и выполнит представленный в ней файл.

Исследователи могут использовать интерактивный рабочий стол Windows, чтобы увидеть, какое поведение проявляет вредоносная программа, а Any.Run регистрирует свою сетевую активность, активность файлов и изменения реестра.

https://www.bleepingcomputer.com/news/security/malware-adds-online-sandbox-detection-to-evade-analysis/
Пред. 1 ... 149 150 151 152 153
Читают тему (гостей: 2)