Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 18 19 20 21 22 ... 167 След.
Цитата
santy пишет:
Возможно, не проверяется данный ключ в реестре
1) Если, это так, то следует оформить - это, как предложение для uVS на Форуме Anti-Malware.
*Возможно стоит предложить добавление ключей ( аналог команды ADDDIR - но, для реестра )

2) Зачем проверять ключ, когда есть команда: ADDDIR
Добавить и Посмотреть все файлы каталога.

3) И вообще, давно пора системные каталоги добавлять в образ по выбору - и делать это на регулярной основе*.
*Были уже случаи - добавляли и смотрели !
Изменено: RP55 RP55 - 20.01.2012 01:02:08
1. необходимо больше знать инфо в реестре по этому CLSID
Цитата
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

2. adddir файлы то добавит, а вот будут ли при этом ссылки на файл из реестра - это вопрос.

3.
Цитата
были уже случаи - добавляли и смотрели!
adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.
по Corkow имеет смыcл сделать логи AVZ, чтобы посмотреть, какой разбор в нем CLSID
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
вот такая может запись в автозапуске,
Код
C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo
Скрипт: Kарантин, Удалить, Удалить через BC   Активен   Ключ реестра   HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray
причем, удаление параметра реестра приводит к исчезновению легальных объектов в системном трее. Т.е. в этом ключе должно прописываться правильное значение dll. вместо удаляемой троянской dll.
http://virusinfo.info/showthread.php?t=114877
(кстати, очень интересный случай, dll отказывается удалиться из активной системы, и присутствует в том числе и Lanmanserver)
еще одна полезная ссылка по проблеме.
http://www.developing.ru/com/what_com_stores.html
----
возможно идет подмена этого объекта.
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\STOBJECT.DLL
Имя файла                   STOBJECT.DLL
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
Размер                      139776 байт
Создан                      12.03.2010 в 16:53:20
Изменен                     12.03.2010 в 16:53:20
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            stobject.dll
Версия файла                5.1.2600.5512 (xpsp.080413-2105)
Версия продукта             5.1.2600.5512
Описание                    Объект службы оболочки Systray
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Корпорация Майкрософт
                           
Доп. информация             на момент обновления списка
SHA1                        B9A16DB183F569E00198026656D66558B44F325F
MD5                         D5D807BE9F6099F42F46456243728F39
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\EXPLORER.EXE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
Изменено: santy - 20.01.2012 08:44:07
в некоторых случаях (возможно ранние варианты Corkow), троянская dll присутствует в автозапуске
Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\FAMILY\APPLICATION DATA\MICROSOFT CORPORATION\MSPUID.AVE
Имя файла                   MSPUID.AVE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEO­BJECTDELAYLOAD\SYSTRAY
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_CLASSES\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      175104 байт
Создан                      21.01.2010 в 08:52:56
Изменен                     21.01.2010 в 08:52:56
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            spRio600.dll
Версия файла                1.0.2.1
Описание                    MDM Device Interface for Rio 600 device.
Производитель               S3/Diamond Multimedia
Комментарий                 Media Device Manager for Rio 600 device
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        F045713A878A8E376CD3F5B3FB0A2845FAB4D8D9
MD5                         8CCEC30EFA773D557BA3CAFCF6EC652B
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
Изменено: santy - 20.01.2012 08:36:28
вот эта часть тоже интересна.
http://virusinfo.info/showthread.php?t=115210

скриптом сбрасывается значение параметра.
Код
begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad');
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.

по словам, вирус удален,
но после перезагрузке в автозапуске опять троянская dll.
Цитата
C:\Documents and Settings\Yaf\Application Data\Microsoft Corporation\dgrfw32.ext
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad, SysTray
какие есть идеи по этому поводу? :)
вообщем,
по Corkow идея такая (гипотеза, нам полезно измышлять гипотезы.)
(По возможности, если будут темы с новыми заражениями, просьба проверить соответствующие ключи и параметры реестра.)
-----------
по описанию ESET есть два варианта, которые стартуют следующим образом:

Цитата
The trojan may set the following Registry entries:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll" = "%commonprogramfiles%\microsoft
shared\%variable1%.%variable2%"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
"Default" = "%appdata%\Microsoft
Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.
тот, что стартует из службы lanmanserver всегда есть в образе и легко пролечивается скриптом. + с исправлением параметра на
правильную сервисную dll.

во втором случае троянская dll не всегда, (чаще всего в последнее время) попадает в автозапуск.
В чем здесь дело.
Судя по всему старт трояна идет через ключ автозапуска

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad
в котором указан параметр
SysTray
значение же параметра выставлено через CLSID={35CEC8A3-2BE6-11D2-8773-92E220524153}
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
----------------
смотрим в реестре описание CLSID в HKLM
нормальное (в чистых системах) значение такое (и оно есть в образах с темой Corkow):
Цитата
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
@="SysTray"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
@="C:\\WINDOWS\\system32\\stobject.dll"
"ThreadingModel"="Both"
возможно троян грузится, если в HKCU добавлено переопределение com-объекта?
а именно (как написано в энциклопедии ESET)

Цитата
[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]

"Default" = "%appdata%\Microsoft

Corporation\%variable1%.%variable2%"
Возможно uVS не проверяет соответствующий ключ из HKCU. (уточню у разработчика)
поскольку несколько раз, когда просили юзеров проверить данный ключ в regedit,
они называли имя файла, т.е. ключ не сокрыт в реестре,
и проверяли файлик на VT с подозрением на Corkow, т.е. файлик тоже не скрыт.
Изменено: santy - 20.01.2012 12:20:54
Цитата
santy пишет:
adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.
Попадёт с гарантий в 100%.
Попадает исполняемый файл имеющий любое неизвестное расширение.
см.фото.
А - вот с ключами реестра хуже - они не проверяются!
На  Anti-Malware я предлагал, после завершения команды  adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных
реестра.
Меня никто не поддержал в этом начинании...
Так, что если идея уже созрела и готова к реализации - то пишите на Anti-Malware и требуйте !  ;)  :cry:  :D
...
Проверка.jpg (121.25 КБ)
здесь может две стратегии:
либо закидывать сети с помощью adddir,
либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.
продолжение.
ключ в HKCU проверяется в uVS в том случае, если троян стартует из
Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
uVS проверяет этот ключ,
потому и видит вторую ссылку
Цитата
HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
в модифицированном случае:
либо тр. в явно не прописан systray,
либо прописан в параметре systray, но ключ этот скрыт;
либо стартует из другого параметра.
либо имеет место переопределение CLSID соответствующее объекту systray.
----------
потому, предлагаю использовать bat-файл для сбора инфо о реестре из приложения.
Изменено: santy - 21.01.2012 13:52:31
Пред. 1 ... 18 19 20 21 22 ... 167 След.
Читают тему