Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 17 18 19 20 21 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.01.2012 12:42:57
как создавал загрузочный диск? в интерфейсе uVS или другим способом?
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 17.01.2012 15:15:18
другим. сам все делал, вручную. uVS просто положил в папку с софтом
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.01.2012 20:24:23
Я вот по этой технологии собирал загрузочный образ
http://forum.esetnod32.ru/forum9/topic1881/

последнюю версию WinPe&uVS373 собирал с помощью uVS.
Проблем пока не было с цифровым каталогом.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.01.2012 07:04:33
Сделал все с нуля. Все работает. Плюс сделал копирование всего дистрибутива с uVS на диск С (как и в оригинальном образе с uVS). Сделал лайт версию - файловый менеджер, uVS, BootIce, различные мелкие утилиты для лечения (типа TDSSkiller, KidoKiller, пару расшифровщиков)

И обычную версию - с Нодом, антивирем от МакКафе (интересная кстати штука для лечения Zaccess и руткитов всяких), утилитами для работы с жестким диском, паролем пользователей и еще по мелочи
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 07:44:21
а в чем смысл запуска с Live.CD подобных утилит:tdsskiller, kidokiller? они разве рассчитаны на запуск с Live.CD?
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.01.2012 15:36:05
да, рассчитаны. практически все утилиты можно запускать с командами для проверки всех разделов. конечно если KidoKiller запустить в активной зараженной системой, то он быстро вычистил зловреда в памяти и будет его убивать, а так придется ждать окончания проверки раздела. с помощью того же TDSSkiller можно проверить загрузчики разделов на наличие того же Carberp. как им выполнить проверку всех разделов я так и не нашел. но это не главное - все утилиты весят не более 4-х мб.
лайт образ получился всего 155 мб (в него входит также папка STORE для uVS)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 16:56:24
загрузчики можно проверить и в uVS, а вот проверяет ли tdsskiller неактивный раздел (имею ввиду драйвера неактивной системы) - это вопрос. Вообще, спору нет, утилита полезная, одна из лучших у ЛК. (если не лучшая.)
т.е. смысла нет добавлять утилиты в Live.CD только потому что они небольшие. Должны выполнять задекларированные действия в неактивном разделе.
------------------
по Corkow.
проверяйте по описанию Corkow из энциклопедии ESET. Если файл явно не обнаружен в образе автозапуска. (Возможно, не проверяется данный ключ в реестре).

Цитата
The trojan may set the following Registry entries:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   lanmanserver\parameters]
   "ServiceDll" = "%commonprogramfiles%\microsoft
   shared\%variable1%.%variable2%"
   [HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
   InprocServer32]
   "Default" = "%appdata%\Microsoft
   Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.

надо запросить у пользователя, значение параметра default для выделенного ключа.
если есть такой ключ в реестре, то проверить значение параметра на VT.
Изменено: santy - 19.01.2012 16:57:21
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.01.2012 17:00:06
насчет Corkow в курсе :)
насчет TDSSKiller
Цитата
santy пишет:
загрузчики можно проверить и в uVS
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 17:06:52
Цитата
Арвид пишет:
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
из под Live.CD в uVS может быть другая картина по загрузчикам.
+ еще ест ьвариант проверка на руткиты с помощью файла сверки. Если в активной системе изменение загрузчика скрыто от uVS, то по файлу сверки он обнаружит это. А значит, с большой уверенностью, без првоерки на VT можно сказать, что подменен загрузчик.
Цитата
Арвид пишет:
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время  

надоест каждый день пересобирать. А главное, выкладывать в сеть. К тому же есть eset_linux_rescue, с актуальными базами каждый день, и возможностью обновиться из сети.
Изменено: santy - 19.01.2012 17:07:57
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.01.2012 17:09:08
с портативным антивирусом в сеть не собираюсь выкладывать - то для личного использования
eset_linux_rescue не подходит тем, что там только антивирус - а хочется поболее функционала с одной загрузочной флешки или диска
пересобирать в принципе не проблема - на это уходит не более одной минуты
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 17 18 19 20 21 ... 167 След.
Читают тему