поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 43 44 45 46 47 ... 167 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 06:04:56

Отправил в почту образец и ссылки.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 01.03.2012 07:40:34

Скорее всего на разных машинах подобные экземпляры по разному себя ведут. Я попробовал на двух разных системах - в обоих случаях файлы попадали в образ - при запуске uVS я видел вирус в папке Автозагрузка. Даже с отключенным антисплайсингом вирус был виден.
Заметил еще что папка, которую создает вирус, также имеет свойство прятаться - в моем случае папка bjSDOWvmdvU6EAK в корне диска то пропадала, то вновь появлялась как и вирус в Автозагрузке.
Фокус с зажатым шифтом помог - вирус не активируется при загрузке системы. Так что можно просить зажимать клавишу, а не грузиться в Безопасный режим.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 07:56:31

оба эти примера по ссылкам на Win 7,

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 01.03.2012 09:29:07

Цитата
santy пишет: оба эти примера по ссылкам на Win 7

Прикрепленные файлы

Image 030.png (92 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.03.2012 02:41:45

Захотелось убивать с помощью uVS хвосты Carberp'a. Думал все будет проще, но пришлось немного попариться с командой для удаления файла из Application Data - когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно. В итоге команды выглядят так:

Цитата
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit

последнюю можно заменить на

Цитата
delall %sys32%\ieunitdrf.inf

Но разницы нет

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 02.03.2012 02:52:51

Цитата
Арвид пишет: Когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно.

На основании этого, можно создать чёткое предложение по модификации uVS ?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.03.2012 02:59:52

На основании этого надо попросить автора чтобы он поправил удаление файлов с переменной %appdata%
Проверил на нескольких ПК:
delall %sys32%\1.txt - работает на х32 системах. На х64 не удаляет ничего.
delall %appdata%\1.txt - нигде ничего не удаляет
Хотя в справке написано:

Цитата
При проверке неактивной системы добавлен анализ переменных: %ALLUSERSPROFILE% (генерируется реальный путь на основе разбора D&S/Users) %USERPROFILE% (перебираются все профили пользователей до обнаружения файла) %APPDATA% (перебираются все профили пользователей до обнаружения файла)

Цитата

При проверке неактивной системы добавлен анализ переменных:
%ALLUSERSPROFILE% (генерируется реальный путь на основе разбора D&S/Users)
%USERPROFILE% (перебираются все профили пользователей до обнаружения файла)
%APPDATA% (перебираются все профили пользователей до обнаружения файла)

Я так понимаю что и команда должна срабатывать. Ведь если выполнить команду:

Цитата
adddir %sys32% crimg

То будет создан нужный образ с нужными файлами.
--------------
Что-то не пойму, выполнил команду что выше:

Цитата
adddir %sys32% -------------------------------------------------------- Добавление всех исполняемых файлов каталога: C:\WINDOWS\SYSTEM32 Добавлено новых файлов: 1342 -------------------------------------------------------- crimg

Но в образ не попали файлы которых я туда накидал с кривыми расширениями и EXE в том числе
А команду adddir %appdata% - программа вообще не поняла...

Изменено: Арвид - 02.03.2012 03:10:10

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2012 05:52:37

Цитата
Арвид пишет: Захотелось убивать с помощью uVS хвосты Carberp'a. Думал все будет проще, но пришлось немного попариться с командой для удаления файла из Application Data - когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно.

Цитата

Арвид пишет:
Захотелось убивать с помощью uVS хвосты Carberp'a. Думал все будет проще, но пришлось немного попариться с командой для удаления файла из Application Data - когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно.

читаем документацию.

Цитата
3.65 --------------------------------------------------------- o Скриптовая команда exec теперь допускает использование сокращений пути до файла: %SYS32% = подкаталог SYSTEM32 проверяемой системы %SYSTEMROOT% = каталог проверяемой системы %SYSTEMDRIVE% = имя диска где расположена система

Цитата

3.65
---------------------------------------------------------
o Скриптовая команда exec теперь допускает использование сокращений пути до файла:
%SYS32% = подкаталог SYSTEM32 проверяемой системы
%SYSTEMROOT% = каталог проверяемой системы
%SYSTEMDRIVE% = имя диска где расположена система

Изменено: santy - 02.03.2012 05:53:16

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.03.2012 05:55:20

это я понял. но она убивает родные переменные
я не могу, например выполнить команду - md "%appdata%\1". приходится извращаться
насчет %sys32% выше написал

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2012 05:58:14

Цитата
Арвид пишет: это я понял. но она убивает родные переменные

здесь лучше за разъяснением о возможностях EXEC обратиться к автору. (Можно ли использовать в контексте EXEC переменные среды Windows).

[ Как создать образ автозапуска? ]

Пред. 1 ... 43 44 45 46 47 ... 167 След.