Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 14 15 16 17 18 ... 167 След.
есть подозрение, что Carberp дополнительно пытается заразить систему еще и Expiro. Часто стали встречаться подобные темы.
Еще экземпляры маленькие появились - по 107 кб. Уменьшаются гады
http://pchelpforum.ru/f26/t80371/
И почему-то антивирус никак не реагирует на него, человек жалуется только на Spy.Shiz. Nod не детектит его, хотя большинство ведущих вендоров уже его обнаруживают. Откуда они так быстро их находят?
Правильно заданный вопрос - это уже половина ответа
возможно, тоже уловка, чтобы startup scanner задетектил Spy.Shiz, а Carberp остался незаметным
Цитата
santy пишет:
Возможно, тоже уловка, чтобы startup scanner задетектил Spy.Shiz, а Carberp остался незаметным
Это странная история.
Если человек находит вирус - то он будет проверять систему на все возможные угрозы.
Для большинства пользователей вирус это только вирус - и соответственно, до его/их названия ему дела нет.
До этого были случаи когда наоборот вирусы прибивали своих собратьев/конкурентов, чтобы к себе внимания не привлекать.
А теперь решили пойти от обратного?

Да нет...
Видимо это нацеленно на прямое уничтожение системы.
Т.е. схема такая:
Заразили машину Carberp - Увели нужные пороли...
После получения данных/кодов производиться заражение Expiro.
Пользователь, получив от Антивируса предупреждение - понимает, что система заражена и соответственно банковскими и прочими услугами
не пользуется - пробует лечить систему.
Или же система сама тихо издыхает...
В результате получается Тайм аут...
И в это время пока человек думает, как же ему жить дальше - деньги уводят со счёта.  :(  :)
Доп. темы плодить не стал.

http://forum.esetnod32.ru/forum6/topic3329/?PAGEN_1=3


Цитата
santy пишет код:
;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6­311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8­CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart

хм, вытравились. даже интересно стало, почему они так долго оставались в системе. должны были быть удалены еще скриптами uVS.

Цитата
RP55 RP55 говорит, что так + команды Zoo :  
;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6­311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8­CB062276 8 tr2

; C:\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
; C:\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
; C:\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
; C:\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
adddir %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\9F66.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

RP55 RP55
Изменено: RP55 RP55 - 23.12.2011 10:17:07
да, вообщем понятно.
uVS может быть закрыт после выполнения скрипта adddir+ crimg, и после нового запуска файлики добавленные в предыдущей сессии через adddir
не попадают в автозапуск,
а поскольку chklst проверяет только список автозапуска (и ничего больше, если не добавлено скриптом), то соответственно delvir "не дотягивается" до файлов из
Цитата
%SystemDrive%\USERS\ADMIN\APPDATA\ROAMING
тут или удалять по прямому пути надо был через delall, или использовать в текущем скрипте adddir (в примере RP55) перед проверкой по сигнатурам
(неплохой пример для науки.)
Изменено: santy - 23.12.2011 11:04:37
Вчера был номер:
Звонит знакомый и говорит:
Комп не работает.
Я спрашиваю, что совсем ?
Он: Да.
Я: А, что предшествовало поломке ?
ОН: Сестра в Одноклассники заходила.
Вышла страница: "Ваш новый код - Подтвердите"...
Подтвердила...
После чего Вышла проветриться...
Приходит...
Светодиод на системном блоке светиться синеньким и всё...
Больше ничего не происходит !
Перезагрузка не помогает.

Система W7/Ult 32b.
Ну Я приехал...
Экран чёрный - и надпись...Спящий режим.
Думаю - надо сначала железо проверить/визуально :)
Отсоединил монитор - подключил.
Монитор Пишет - проверить кабель/подключение.
Питание подаётся...
Но на экран даже картинка от BIOS не выводиться.
Я думаю - и чего делать ?
Стоит здоровенная видеокарта с пломбой и перекрывает батарейку BIOS - так, что даже её не вытащить, чтобы всё обнулить.
USB - выходы не работают.
Клавиатура SP2 не работает.
Я говорю: Где бумаги по гарантийному обслуживанию ?
Он: Надо искать.
Я думаю - надо ещё покопаться.
Отсоединил монитор.
Потом HDD диск SATA.1Tb
Подключил монитор - загнал в дисковод ( он работал ) Live CD
Раза 2-3 перезагрузился - Смотрю Live CD загружается...
Изображение на монитор идёт.
И заработала клавиатура - а мыша не работает.
Взял другой диск - с ним всё работает.
Думаю - значит ели Live CD пашет - то дело точно не в железе - машина новая - да и "Одноклассники" с их кодом...
Подключил HDD + Live CD - проверяю uVS - вроде всё нормально все загрузчики в списке проверенных.
Думаю: Ерунда какая то !  
Запустил: TDSSKiller.exe
Он находит: Rootkit.Win32.BackBoot.gen сектор: 0
Действия - ничего внятного не предлагает...
Опять запускаю TDSSKiller...
Опять ерунда...
В конце концов всё таки очистил !
Система - загрузилось и всё работает...
В общем такая вот история.  
Совсем измучили человека !  :D
ну, а образ автозапуска зараженной системы из под Live.CD + логи tdsskiller как всегда не делаешь для истории. :)
по Spy.Shiz пошла следующая тенденция. файл имеет цифровую подпись. При создании полного образа автозапуска получает статус "ПРОВЕРЕННЫЕ", и не будет виден в списке подозрительных.
необходимо или проверять категорию ВСЕ, или сбрасывать флажок проверенные в категории ПОДОЗРИТЕЛЬНЫЕ И ВИРУСЫ.
---------------
Цитата
Полное имя                  C:\WINDOWS\APPPATCH\CWWNJC.EXE
Имя файла                   CWWNJC.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ в автозапуске
                           
Удовлетворяет критериям    
ЛИШНЕЕ В USERINIT           USERINIT: C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\WINDOWS\APPPATCH\CWWNJC.EXE,
ЛИШНЕЕ В USERINIT           USERINIT: C:\WINDOWS\APPPATCH\CWWNJC.EXE
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      260944 байт
Создан                      12.05.2011 в 18:59:39
Изменен                     15.01.2012 в 12:15:55
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Primetech Ltd.
                           
Версия файла                1.2.1.5
Описание                    preternatural
Продукт                     Starvy
Copyright                   gunpowderous
Производитель               1C
                           
Доп. информация             на момент обновления списка
SHA1                        D8F0B883216292A3B9FE8A39182183FC7E0395E5
MD5                         8BDC8225135A410C67E958D7C263A999
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
System                      C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\WINDOWS\system32\userinit.exe,C:\Windows\apppatch\cwwnjc.exe,
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Load                        C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
Run                         C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows\CurrentVersion\Run\userinit
userinit                    C:\Windows\apppatch\cwwnjc.exe
Изменено: santy - 15.01.2012 12:01:17
Цитата
santy пишет:
Подписано Primetech
1.Настроить критерий/поиска по данному производителю.
2.Поддержать моё предложение по развитию uVS - в плане удаления объектов по производителю.
Пред. 1 ... 14 15 16 17 18 ... 167 След.
Читают тему