Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 19 20 21 22 23 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.01.2012 14:08:09
и да, просьба по Corkow не спешить с лечением, а по возможности, полностью прояснить третий вариант: откуда стартует троянская dll.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2012 14:24:41
Цитата
santy пишет:
Здесь может две стратегии: либо закидывать сети с помощью adddir, либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.

Да, изучение данных более актуально.
Главное, с этим не затягивать - изучили > внесли корректировку в uVS.
А то - получаются прыжки на хороших bat протезах.  ;)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2012 14:29:40
Цитата
RP55 RP55 пишет:
А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра.

Если, данное предложение реализовать - то, ни сейчас, ни в дальнейшем bat файлы для сбора информации не понадобились бы...
И все команды из меню uVS...
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.01.2012 14:30:33
Мы с Арвидом и ZloyDi сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
Поэтому, подключайся в анализ вредоносного кода. Хотя бы на уровне: файлы, реестр, поведение.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.01.2012 14:32:39
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2012 14:34:46
Цитата
santy пишет:
Мы с Арвидом и ZloyDi сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
А у Вир.лаба запросить данные нет никакой возможности ?
Они же должны изучать - создавать новые эвристические модели поведения.
Способы очистки - и блокирования.
Может Своим они дадут эти данные ?  :(   :oops:  :D
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.01.2012 14:35:15
Цитата
Арвид пишет:
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ
Арвид, здесь полно тем с заражением Corkow.
Я отобрал себе все образы по Corkow какие у меня есть,
отсортировал по типам старта:
LanmanServer,
ShellServiceObjectDelayLoad
и третий, неизвестный,
потому и разбираюсь с третьим случаем, что он в последнее время наиболее часто встречается.
Изменено: santy - 21.01.2012 14:38:47
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.01.2012 14:36:41
у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.01.2012 14:40:37
Цитата
Арвид пишет:
у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально  
а я сортирую образы по типам заражений: Carberp, Corkow, Spy.Shiz и т.п. - чтобы можно было при случае глянуть основное инфо по вирусякам.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 21.01.2012 14:43:25
Цитата
RP55 RP55 пишет:
А у Вир.лаба запросить данные нет никакой возможности ?
ну, пока что участие российского вирлаба, самое минимальное в нашей теме, за исключением того, что ВАлентин пролечивает некоторые темы. Надеюсь, на помощь Валентина.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 19 20 21 22 23 ... 167 След.
Читают тему