поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

с HIPS - это понятно, но сейчас далеко не у всех даже версия EAV/ESET 5 установлена, а если установлен, то скорее всего в автоматическом режиме. Важен факт очистки самого трояна, активного уже в системе. Которого сейчас нет. Только с Live.Cd. Хотя, возможно... при наличие сигнатуры srartup сканер может его очистить.
Цитата
santy пишет:
единственно, непонятно, или все пользователи сейчас хватают эту заразу, а в памяти только Есет может ее обнаружить, или Карберп нащупал слабые места в защите Есета.

Это легко проверить.
Установить другой антивирус и посмотреть его реакцию.
Цитата
RP55 RP55 пишет:
ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
сплайсинг, который он использует никто не отменял, сам файл команды системы не могут обнаружить.
Цитата
RP55 RP55 пишет:

Это легко проверить.

Установить другой антивирус и посмотреть его реакцию.

Проверь, и будем точно знать.
Ну вот из последних
http://www.virustotal.com/file-scan/report.html?id=192f78a39aaef71d2ed9d37cfe52b3e427a191142f0b9c61240899209­7d18962-1321883366

IGFXTRAY.EXE - Win32/TrojanDownloader.Carberp.W trojan
Изменено: zloyDi - 21.11.2011 19:54:53

sendvirus2019@gmail.com
Zloydi, детект это одно, а вот возможность очистить его (после пропуска) с детектом или без детекта - другое. Есету понятно, он уже не даст базы обновить после пропуска.
Цитата
santy пишет:
сплайсинг, который он использует никто не отменял, сам файл команды системы не могут обнаружить.
Процесс да маскируется.
Работает:
Сброс атрибутов файлов/каталогов.
Прекрасно сбрасывает его параметры "Скрытый Системный"
Вируса у меня уже нет...
Не люблю всякую дрянь на машине держать.
Пару дней назад погонял AF модификацию.
И удалил.
В принципе - при применении uVS - Этот вирус полное убожество.
Время обнаружения/удаления  с использованием нормальной базы SHA1 и поисковых критериев 30 секунд.

И всё же - его было видно при соответствующей настройке! :)
см.фото.
Правда может не все версии будет видно - однако факт ! :)
IG.jpg (24.33 КБ)
скорее всего, файлик стал виден после выгрузки процесса, сам активный процесс должен скрывать присутствие файла в директории.
Изменено: santy - 21.11.2011 20:14:17
не знаю с чем это связано, но на виртуалке он не запускает - ошибка памяти, но зато на моей системе запустилось удачно (случайно :D ). сразу svchost начал усердно что-то качать из сети и грузить проц на 100%. фаер стоит в интерактивном режиме, даже не пикнул. с помощью KillSwitch приостановил процесс svchost, перестал качать и грузить процессор. в папке Автозагрузка (и в ветках реестра) пусто. наверное он с загрузчиком что-то намудрил
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
наверное он с загрузчиком что-то намудрил
Загрузчик родной системы есть в базе проверенных ?
Можно проверить/сравнить - есть ли изменения.
Есть ?
Изменено: RP55 RP55 - 21.11.2011 20:20:33
Читают тему (гостей: 1)