Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 19 20 21 22 23 ... 167 След.
и да, просьба по Corkow не спешить с лечением, а по возможности, полностью прояснить третий вариант: откуда стартует троянская dll.
Цитата
santy пишет:
Здесь может две стратегии: либо закидывать сети с помощью adddir, либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.

Да, изучение данных более актуально.
Главное, с этим не затягивать - изучили > внесли корректировку в uVS.
А то - получаются прыжки на хороших bat протезах.  ;)
Цитата
RP55 RP55 пишет:
А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра.

Если, данное предложение реализовать - то, ни сейчас, ни в дальнейшем bat файлы для сбора информации не понадобились бы...
И все команды из меню uVS...
Мы с Арвидом и ZloyDi сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
Поэтому, подключайся в анализ вредоносного кода. Хотя бы на уровне: файлы, реестр, поведение.
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ
Правильно заданный вопрос - это уже половина ответа
Цитата
santy пишет:
Мы с Арвидом и ZloyDi сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
А у Вир.лаба запросить данные нет никакой возможности ?
Они же должны изучать - создавать новые эвристические модели поведения.
Способы очистки - и блокирования.
Может Своим они дадут эти данные ?  :(   :oops:  :D
Цитата
Арвид пишет:
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ
Арвид, здесь полно тем с заражением Corkow.
Я отобрал себе все образы по Corkow какие у меня есть,
отсортировал по типам старта:
LanmanServer,
ShellServiceObjectDelayLoad
и третий, неизвестный,
потому и разбираюсь с третьим случаем, что он в последнее время наиболее часто встречается.
Изменено: santy - 21.01.2012 14:38:47
у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально :)
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально  
а я сортирую образы по типам заражений: Carberp, Corkow, Spy.Shiz и т.п. - чтобы можно было при случае глянуть основное инфо по вирусякам.
Цитата
RP55 RP55 пишет:
А у Вир.лаба запросить данные нет никакой возможности ?
ну, пока что участие российского вирлаба, самое минимальное в нашей теме, за исключением того, что ВАлентин пролечивает некоторые темы. Надеюсь, на помощь Валентина.
Пред. 1 ... 19 20 21 22 23 ... 167 След.
Читают тему