поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 32 33 34 35 36 ... 167 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2012 09:46:51

Цитата
RP55 RP55 пишет: По uVS Предложение: "Копировать все исполняемые файлы каталога в Zoo" adddir_zoo %SystemRoot%\APPPATCH\ На выходе - все образцы файлов будут в архиве. Получив архив и зная имя и сигнатуру - можно, уже на этом этапе составить скрипт для зачистки. И отправить файлы в вир.лаб... ----------------------------------------- Какие будут мысли ?

Цитата

RP55 RP55 пишет:
По uVS
Предложение: "Копировать все исполняемые файлы каталога в Zoo"
adddir_zoo %SystemRoot%\APPPATCH\
На выходе - все образцы файлов будут в архиве.
Получив архив и зная имя и сигнатуру - можно, уже на этом этапе составить скрипт для зачистки.
И отправить файлы в вир.лаб...
-----------------------------------------
Какие будут мысли ?

1. а в чем отличие от просто ADDDIR? там ведь все файлы из каталога попадают в образ: и смотри, и исследуй, и пиши скрипты.
2. кому нужен будет архив в почте в 10-20 и более МБ, если предлагаешь запаковать каталог с неизвестно чем?
3. предлагаешь отказаться от изучения образа и перейти к изучению ZOO и по ZOO писать скрипты.

Изменено: santy - 12.02.2012 09:47:51

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 12.02.2012 13:56:52

Цитата
santy пишет: 1. а в чем отличие от просто ADDDIR? там ведь все файлы из каталога попадают в образ: и смотри, и исследуй, и пиши скрипты. 2. кому нужен будет архив в почте в 10-20 и более МБ, если предлагаешь запаковать каталог с неизвестно чем? 3. предлагаешь отказаться от изучения образа и перейти к изучению ZOO и по ZOO писать скрипты.

Цитата

santy пишет:
1. а в чем отличие от просто ADDDIR? там ведь все файлы из каталога попадают в образ: и смотри, и исследуй, и пиши скрипты.
2. кому нужен будет архив в почте в 10-20 и более МБ, если предлагаешь запаковать каталог с неизвестно чем?
3. предлагаешь отказаться от изучения образа и перейти к изучению ZOO и по ZOO писать скрипты.

Да, файлы в образ по ADDDIR попадут - но если sha1 нет на V.T...?
А так из архива, их можно загрузить и проверить...
* При желании/необходимости и наличии возможности это сделать.
+
Каталог можно не на почту,а на файлообменник. ( Что оперативно и нет ограничений по весу )
3. В определённом смысле да - но опять-же без крайностей.
Можно посмотреть Zoo - узнать/увидеть имена файлов.
Получить образцы сигнатур для скрипта зачистки.
- То, что предлагаю - это дополнительная опция к существующему на данный момент подходу.
Я написал - что опция доступна только при работе с образами - нужны тебе файлы - добавил команду.
А ненужны - так и не добавляй !
_________________________________________

Вчера на форуме встретил образ. uVS 373
Не работает функция: "Скрыть известные" или мне кажется ?
Если не кажется...
То нужно сообщить Дмитрию ?

Прикрепленные файлы

COMPUTER-3F930A_2012-02-11_22-07-41.7z (163.28 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 14:06:01

Вот еще интересный случай - http://pchelpforum.ru/f26/t87325/
Dorkbot не попал в лог uVS версии 3.73

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2012 14:17:29

Цитата
RP55 RP55 пишет: Да, файлы в образ по ADDDIR попадут - но если sha1 нет на V.T...?

по моему ты уже обсуждал это ранее с Дмитрием.
разгребать карантины с файлообменников - думаю, не хватит на это время. Да, и вирлабу это тоже не нужно.
копировать в карантин неизвестно что... не лучшее решение.
adddir добавил каталог, который тебя интересует, посмотрел какие есть файлы, и карантинь в ZOO,
чуть помедленнее (как у Высоцкого), но надежный и отработанный вариант. Какого-то принципиального улучшения в adddir_zoo не видно пока.
-------------------
можно посмотреть... - а в образе разве нельзя посмотреть, добавить сигнатуры и прочее?
* не стоит перегружать uVS бесполезными командами.
---
по функции - скрыть известные.... сейчас смотрю образ v373 (из под Live.CD), все работает.

Изменено: santy - 12.02.2012 14:39:38

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2012 14:38:44

Цитата
Арвид пишет: Вот еще интересный случай - http://pchelpforum.ru/f26/t87325/ Dorkbot не попал в лог uVS версии 3.73

по моему, там изначально был образ v374, хотя усеченный какой-то.
----
вот на эти сообщения следует смотреть, что обнаруживает антисплайсинг.

Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile (!) Обнаружен сплайсинг: LdrLoadDll (!) Обнаружен сплайсинг: NtEnumerateValueKey (!) Обнаружен сплайсинг: RegCreateKeyExW

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 14:40:23

Саш, он наверное лог переделал и ссылку заменил. Глянь на время

Я точно помню что версия была 3.73

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 14:41:16

Кстати, вопрос к ZloyDi - на почту приходят экземпляры вирусов от adminplanet?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2012 14:46:17

Цитата
Арвид пишет: Саш, он наверное лог переделал и ссылку заменил. Глянь на время Я точно помню что версия была 3.73

возможно, потому что первая тема уже отредактирована, но и в первой (отредактированной) с v374 еще нет файлов. только в новом образе после скрипта
adddir + crimg

[ Как создать образ автозапуска? ]