Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 20 21 22 23 24 ... 167 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2012 14:43:57
Цитата
Арвид пишет:
У меня тоже уже полно образов собралось (порядка 700 шт.)
А, как, по какой схеме реализована работа с образами - в процессе лечения ?
Ведь всё нужно сделать так, чтобы не было путаницы...
т.е какая структура поиска/нахождения данных ?
Цитата
santy пишет:
Мы с Арвидом и ZloyDi сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
Если бы у Вас было время - то, сколько его нужно для анализа и получения результата ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.01.2012 14:49:49
Цитата
RP55 RP55 пишет:
Если бы у Вас было время - то, сколько его нужно для анализа и получения результата ?
как минимум, нужен дроппер Corkow, или темы с подобными заражениями для анализа (возможно, что и спомощью Live.CD, если третий вариант использует сокрытие.)
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.01.2012 14:53:48
Цитата
RP55 RP55 пишет:
А, как, по какой схеме реализована работа с образами - в процессе лечения ?
Ведь всё нужно сделать так, чтобы не было путаницы...
т.е какая структура поиска/нахождения данных ?
в основном помогают сигнатуры и настроенные фильтры - основную часть заражения видно в Подозрительных файлах. после зачистки там переход во Все и там просмотр файлов мельком. когда знаешь какое заражение - проще намного :)
не нравится вот что - очищаешь ссылки на отсутствующие файлы когда находишь в категории Подозрительные - переходишь во Все и опять те отсутствующие файлы видишь, приходится снова тыкать на очистить
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.01.2012 14:56:56
Цитата
Арвид пишет:
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ
вот описание Corkow.
http://www.eset.eu/encyclopaedia/win32-corkow-a-trojan-yakes-goc?lng=en
странно, что ключ ShellServiceObjectDelayLoad здесь не упоминается.
с библ. толку мало. в ней реализован функционал, а нас интересуют параметры реестра, откуда он стартует.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2012 15:00:15
Цитата
Арвид пишет:
Не нравится вот что - очищаешь ссылки на отсутствующие файлы когда находишь в категории Подозрительные - переходишь во Все и опять те отсутствующие файлы видишь, приходится снова тыкать на очистить
Так оформляй в предложение для uVS !
Чего ждать !

Цитата
Арвид пишет:
В основном помогают сигнатуры и настроенные фильтры - основную часть заражения видно в Подозрительных файлах.
Нет !
Я про архив/базу самих образов говорю!
Вот, на лечении 50 человек = 50/70 образов...
Эти данные как структурированы - ?
Во избежании путаницы с лечением ?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.01.2012 15:02:34
одновременно с несколькими образами стараюсь не работать (да и не так часто это бывает) - возможна путаница. просто когда нечего делать - захожу в папку Downloads и скидываю все логи в папку Logs безо всякого порядка :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.01.2012 15:14:24
Цитата
Арвид пишет:
просто когда нечего делать - захожу в папку Downloads и скидываю все логи в папку Logs безо всякого порядка  
образы - это полезная инфо, и лучше хранить в структурированном виде.
Иначе получается  - вылечил, и забыл. Остались только сигнатуры в базе uVS. Нет возможности анализа.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.01.2012 17:24:15
Цитата
RP55 RP55 пишет:

RP55 RP55 пишет:
А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра.

RP55 RP55 пишет: А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра.

это может занимать значительное время.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.01.2012 19:07:12
Арвид
А в честь чего, такое нововведение в скриптах ?
;;uVS

;;uVS v3.73.1 script [http://dsrt.dyndns.org]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.01.2012 19:09:11
скорее всего неверная вставка была.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 20 21 22 23 24 ... 167 След.
Читают тему