поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 160 161 162 163 164 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.08.2021 19:50:03

Цитата
RP55 RP55 написал: На V.T. обновили базы теперь файл cef5aa279f639d500f83f51ae3bb846a2908019d определяется как 1/68: ESET-NOD32 A Variant Of MSIL/Agent.URR

отлично!

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.08.2021 03:07:47

кстати, сюда надо почаще заглядывать, здесь просто кладезь полезной информации по нашей профильной теме.

Цитата
Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1] Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется

Цитата

Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1]

Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется

https://attack.mitre.org/techniques/T1218/010/

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.08.2021 00:00:00

Посмотрел 7- тем\образов заражения MSIL/Agent.URR
Везде есть недавно установленные игрушки. ( есть и одноимённые игры )
т.е. можно предположить, что, как и в предыдущих случаях майнера добавили к игре.
------
т.е. зверюга так и будет ещё некоторое время появляться.
+
Может быть связь:

Цитата
Скачал Assassin's Creed 3, но после установки появились ярлыки World of Tanks и GTA NextRP.

safezone.cc/threads/skachal-assassins-creed-3-no-posle-ustanovki-pojavilis-jarlyki-world-of-tanks-i-gta-nextrp.38993/

Изменено: RP55 RP55 - 08.08.2021 00:08:25

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.08.2021 15:53:38

переделал виды запуска майнеров в таблицу, так будет лучше.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.08.2021 09:08:43

детальный анализ от Sophos работы ботнета MyKing по сути boot.DarkGalaxy с которым столкнулись два года назад. https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.08.2021 16:38:45

Цитата
RP55 RP55 написал: На V.T. обновили базы теперь файл cef5aa279f639d500f83f51ae3bb846a2908019d определяется как 1/68: ESET-NOD32 A Variant Of MSIL/Agent.URR

теперь уже 14 детектов.
Дрвеб добавил - DrWeb Trojan.LoaderNET.3, и ЛК -- Kaspersky HEUR:Trojan.MSIL.Agent.gen

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.08.2021 17:08:27

горячая тема, возможно Mykings рапространился в сети предприятия.
https://forum.kasperskyclub.ru/topic/84069-zarazhenie-korporativnoj-seti-zlovred-trojanmultigenautorunwmis-ili-a-on-zhe-heurtrojanmultigenautorunsvcksws-on-zhe-powershellmuldrop129powershelldownloader1452/

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.09.2021 16:08:04

В некоторых моделях кнопочных телефонов
https://habr.com/ru/post/575626/

Цитата
TL;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников. Статья описывает детали вредоносных функций и способы их обнаружения.

Цитата

TL;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Статья описывает детали вредоносных функций и способы их обнаружения.

DNS начал отзыв: DEXP B281 и SD2810 ( моделей собственного производства )

Цитата
Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер Позволяет злоумышленникам использовать ваш номер телефона для регистраций на сервисах, требующих подтверждения через СМС. Телефон периодически выходит в интернет и получает команды с сервера, результат выполнения которых отправляется обратно на сервер.

Цитата

Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер
Позволяет злоумышленникам использовать ваш номер телефона для регистраций на сервисах, требующих подтверждения через СМС. Телефон периодически выходит в интернет и получает команды с сервера, результат выполнения которых отправляется обратно на сервер.

Это вообще смертельно опасное чудо.

Изменено: RP55 RP55 - 03.09.2021 16:11:32

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.09.2021 16:56:15

как работает отслеживание процессов по закрытым процессам.
после обновления до 4.11.9 в образ добавляется cmdline закрытого процесса

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.10.2021 16:01:41

ну, собственно, итог.
отслеживание cmdline по завершенным процессам позволило определить содержание командной строки в контексте powershell, определить тип майнера в локальной сети, и выработать рекомендации по очистке систем, и защите серверов и рабочих станций от метода атаки майнера-червя.

[ Как создать образ автозапуска? ]

Пред. 1 ... 160 161 162 163 164 ... 167 След.