Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Цитата
RP55 RP55 написал:
На V.T. обновили базы теперь файл  cef5aa279f639d500f83f51ae3bb846a2908019d  определяется как 1/68:  ESET-NOD32  A Variant Of MSIL/Agent.URR
отлично!
кстати, сюда надо почаще заглядывать, здесь просто кладезь полезной информации по нашей профильной теме.

Цитата
Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1]

Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется

https://attack.mitre.org/techniques/T1218/010/
Посмотрел 7- тем\образов заражения MSIL/Agent.URR
Везде есть недавно установленные игрушки. ( есть и одноимённые игры )
т.е. можно предположить, что, как и в предыдущих случаях майнера добавили к игре.
------
т.е. зверюга так и будет ещё некоторое время появляться.
+
Может быть связь:
Цитата
Скачал Assassin's Creed 3, но после установки появились ярлыки World of Tanks и GTA NextRP.

safezone.cc/threads/skachal-assassins-creed-3-no-posle-ustanovki-pojavilis-jarlyki-world-of-tanks-i-gta-nextrp.38993/
Изменено: RP55 RP55 - 08.08.2021 00:08:25
переделал виды запуска майнеров в таблицу, так будет лучше.

детальный анализ от Sophos работы ботнета MyKing по сути boot.DarkGalaxy с которым столкнулись два года назад. https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf
Цитата
RP55 RP55 написал:
На V.T. обновили базы теперь файл  cef5aa279f639d500f83f51ae3bb846a2908019d  определяется как 1/68:  ESET-NOD32  A Variant Of MSIL/Agent.URR
теперь уже 14 детектов.
Дрвеб добавил -  DrWeb Trojan.LoaderNET.3, и ЛК --  Kaspersky HEUR:Trojan.MSIL.Agent.gen
горячая тема, возможно Mykings рапространился в сети предприятия.
https://forum.kasperskyclub.ru/topic/84069-zarazhenie-korporativnoj-seti-zlovred-trojanmultigenautorunwmis-ili-a-on-zhe-heurtrojanmultigenautorunsvcksws-on-zhe-powershellmuldrop129powershelldownloader1452/
В некоторых моделях кнопочных телефонов
https://habr.com/ru/post/575626/

Цитата
TL;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Статья описывает детали вредоносных функций и способы их обнаружения.

DNS начал отзыв: DEXP B281 и SD2810  ( моделей собственного производства )


Цитата
Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер
Позволяет злоумышленникам использовать ваш номер телефона для регистраций на сервисах, требующих подтверждения через СМС. Телефон периодически выходит в интернет и получает команды с сервера, результат выполнения которых отправляется обратно на сервер.

Это вообще смертельно опасное чудо.
Изменено: RP55 RP55 - 03.09.2021 16:11:32
как работает отслеживание процессов по закрытым процессам.
после обновления до 4.11.9 в образ добавляется cmdline закрытого процесса

ну, собственно, итог.
отслеживание cmdline по завершенным процессам позволило определить содержание командной строки в контексте powershell, определить тип майнера в локальной сети, и выработать рекомендации по очистке систем, и защите серверов и рабочих станций от метода атаки майнера-червя.
Читают тему