поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 35 36 37 38 39 ... 167 След.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.02.2012 16:45:56

C:\WINDOWS\FRGOO.SYS
это?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.02.2012 16:47:49

Цитата
Арвид пишет: C:\WINDOWS\FRGOO.SYS

Это !

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.02.2012 17:42:17

да, уж пора делать правило на сервис newdriver

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.02.2012 18:12:01

Цитата
Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2 (Rootkit.Boot.Cidox.b*). Подзабытого хотя бы на фоне развязавшегося мешка с «безруткитным» Trojan.Mayachok.1», – сообщил Михаил Касимов, независимый исследователь и активный бета-тестер продукта Vba32 AntiRootkit, на форуме Anti-Malware.

Цитата

Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2 (Rootkit.Boot.Cidox.b*). Подзабытого хотя бы на фоне развязавшегося мешка с «безруткитным» Trojan.Mayachok.1», – сообщил Михаил Касимов, независимый исследователь и активный бета-тестер продукта Vba32 AntiRootkit, на форуме Anti-Malware.

http://virusblokada.blog.tut.by/2012/02/14/novaya-modifikatsiya-trojan-mayachok/#more-287
Арвид, у тебя с маяками большой опыт - не встречаются еще в живой природе варианты VBR-руткита Trojan.Mayachok.2?

Изменено: santy - 14.02.2012 18:12:21

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.02.2012 18:14:29

нет, не было такого, все прописываются где обычно.
ZloyDi поделился ссылкой новой на подобные сайты, где выкладывают эти маячки. помню в том месяце этот сайт видел, тогда дроперы были 70-80 кб, сейчас 100 и выше. буду качать, проверять

Правильно заданный вопрос - это уже половина ответа

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.02.2012 18:25:40

Цитата
Арвид пишет: дроперы были 70-80 кб

По той ссылке что я тебе дал, размер и упаковщик файла меняется 4-5 раз на день

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.02.2012 20:00:50

Возможно, это тот же Carberp с функционалом буткита (Carberp.A), + добавлена защита от перезаписи VBR из активной системы.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.02.2012 22:01:28

хм,

Цитата
подтверждаю, что в новом варианте Rootkit.Cidox.B есть защита от перезаписи в VBR из активной системы. 23:17:09.0734 0140 TDSS rootkit removing tool 2.7.12.0 Feb 11 2012 16:58:52 23:17:11.0749 0140 ============================================================ 23:17:11.0749 0140 Current date / time: 2012/02/14 23:17:11.0749 23:17:11.0749 0140 SystemInfo: 23:17:11.0749 0140 23:17:11.0749 0140 OS Version: 5.1.2600 ServicePack: 3.0 23:17:11.0749 0140 Product type: Workstation 23:17:11.0749 0140 ComputerName: VM-XP 23:17:11.0749 0140 UserName: safety 23:17:46.0702 1284 ============================================================ 23:17:46.0702 1284 Scan finished 23:17:46.0702 1284 ============================================================ 23:17:46.0718 1584 Detected object count: 2 23:17:46.0718 1584 Actual detected object count: 2 23:18:35.0405 1584 \Device\Harddisk0\DR0\# - copied to quarantine 23:18:35.0405 1584 \Device\Harddisk0\DR0 - copied to quarantine 23:18:35.0405 1584 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine 23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 - copied to quarantine 23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Quarantine 23:19:03.0140 1008 Deinitialize success

Цитата

подтверждаю, что в новом варианте Rootkit.Cidox.B есть защита от перезаписи в VBR из активной системы.

23:17:09.0734 0140 TDSS rootkit removing tool 2.7.12.0 Feb 11 2012 16:58:52
23:17:11.0749 0140 ============================================================
23:17:11.0749 0140 Current date / time: 2012/02/14 23:17:11.0749
23:17:11.0749 0140 SystemInfo:
23:17:11.0749 0140
23:17:11.0749 0140 OS Version: 5.1.2600 ServicePack: 3.0
23:17:11.0749 0140 Product type: Workstation
23:17:11.0749 0140 ComputerName: VM-XP
23:17:11.0749 0140 UserName: safety
23:17:46.0702 1284 ============================================================
23:17:46.0702 1284 Scan finished
23:17:46.0702 1284 ============================================================
23:17:46.0718 1584 Detected object count: 2
23:17:46.0718 1584 Actual detected object count: 2
23:18:35.0405 1584 \Device\Harddisk0\DR0\# - copied to quarantine
23:18:35.0405 1584 \Device\Harddisk0\DR0 - copied to quarantine
23:18:35.0405 1584 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Quarantine
23:19:03.0140 1008 Deinitialize success

по логу uVS

Цитата
IPL NTFS [C:] Дата: 2012-02-14 [2012-02-14 16:30:00 UTC ( 52 minutes ago )] Имя: vbr_infected.bin BOO/Cidox.A [AntiVir] Детектов: 1 из 8 -------------------------------------------------------- Запись загрузчика в VBR: C: Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ]

Цитата

IPL NTFS [C:]
Дата: 2012-02-14 [2012-02-14 16:30:00 UTC ( 52 minutes ago )]
Имя: vbr_infected.bin
BOO/Cidox.A [AntiVir]
Детектов: 1 из 8
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ]

Прикрепленные файлы

VM-XP_2012-02-14_23-21-52.7z (105.2 КБ)

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.02.2012 22:10:54

лог сканирования ESET Endpoint Security Suite при зараженном VBR (IPL)

Цитата
Scan Log Version of virus signature database: 6883 (20120214) Date: 14.02.2012 Time: 23:45:35 Scanned disks, folders and files: Operating memory;C:\Boot sector Number of scanned objects: 332 Number of threats found: 0 Time of completion: 23:45:46 Total scanning time: 11 sec (00:00:11)

то о чем пишет VBA32 (по отчету VBA32arkit_beta)

Цитата
\Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL 0x8080377E C:\WINDOWS\system32\ntkrnlpa.exe Signed Anomaly detected

Изменено: santy - 14.02.2012 22:14:18

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.02.2012 22:12:37

Фигово что не видит, не говорю уже про лечение... Нод вроде никогда и не мог загрузчики самостоятельно лечиться. Фиговато
Кстати, в EESS столько багов уже нашел. В русскую тех поддержку можно о них отписываться или без толку?

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 35 36 37 38 39 ... 167 След.