Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 57 58 59 60 61 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2012 16:50:35
проблема левых DNS все чаще стала появляться в темах заражений.
Арвид уже в курсе, и другим не мешает об этом знать. пока светится стабильно один левый ip в настройках подключений.

---------
Цитата
Полное имя                  134.255.241.122,8.8.8.8\VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}
Имя файла                   {8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}
Тек. статус                 ?ВИРУС? DNS
                           
Удовлетворяет критериям    
ЛЕВЫЙ DNS                   ПОЛНОЕ ИМЯ: 134.255.241.122,8.8.8.8\VIRTUALBOX HOST-ONLY NETWORK\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}
                           
Сохраненная информация      на момент создания образа
Статус                      DNS
Изменено: santy - 13.04.2012 17:11:58
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 13.04.2012 22:36:47
Цитата
santy пишет:
Проблема левых DNS
Недостаток - то, что на данный момент поисковый критерий > перемещение в подозрительные не работает.
Можно Зевнуть...
Кто его знает когда uVS 375 выйдет - и что именно там будет исправлено/изменено !

P.S.
Будет ли реакция со стороны компании ESET на данный DNS...
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 13.04.2012 22:38:00
Цитата
RP55 RP55 пишет:
Кто его знает когда uVS 375 выйдет - и что именно там будет исправлено/изменено !
мы это на PCHF обсуждали. Саша отписался в теме uVS на antimalware, автор добавит это в следующей версии
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 13.04.2012 22:45:58
Цитата
Арвид пишет:
Автор добавит это в следующей версии...
Я читал сообщение на Antimalware.  :|
Однако, новую версию можно ещё два месяца ждать - и неизвестно, что будет реализовано.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 13.04.2012 22:48:14
о, круто :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2012 08:04:13
Цитата
Арвид пишет:
о, круто  
посмотрел вчера тему на PCHF, вот там настоящий праздник! :)
------
по очистке DNS.
для локальной сети наверное правильнее будет просто сбросить левые DNS, иначе комп перестанет находить в сети другие по DNS-name.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 14.04.2012 13:38:00
нет, DNS сервера никак не мешают работе сети - они нужны только для преобразования доменных имен, а доменные имена только в интернете используются
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2012 15:23:38
не только.
в локальной сети если есть свои DNS-сервера (внутренний, не провайдера) кэширует имена рабочих станций и серверов и локальные ипы, соответственно ping по имени компа, подключение по RDP к хосту по имени работать не будет если выставлены только внешние айпишники dns серверов, без альтернативных локальных.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 17.04.2012 20:22:33
3 антивируса и Carberp - http://forum.esetnod32.ru/messages/forum17/topic1850/message40783/?result=reply#message40783
Правильно заданный вопрос - это уже половина ответа
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 18.04.2012 03:19:08
https://www.virustotal.com/file/d2825052f47551695159618f179dc91bd77a5bde3d8c817ee88­ca1a7f6e71ca0/analysis/1333273562/
MD5: 2804827d1d37736a22c542f85b6a322b

С помощью HIPS можно остановить процесс в оперативной памяти, и поймать сам дроппер. На некоторых зверушках можно применять даже UAC.
:)

Дроппер в оперативной памяти:

Operating memory » C:\Documents and Settings\XPMUser\Рабочий стол\1vnUw8zvoRg.exe - a variant of Win32/TrojanDownloader.Carberp.AH trojan - cleaned by deleting (after the next restart) - quarantined [1,2]
01.04.2012 13:43:13 ESET Kernel File  'C:\Documents and Settings\XPMUser\Рабочий стол\1vnUw8zvoRg.exe' was sent to ESET for analysis.

Инфицированная система:
Operating memory » explorer.exe(1024) - a variant of Win32/TrojanDownloader.Carberp.AH trojan
01.04.2012 13:53:26 ESET Kernel File  'explorer.exe(1024)' was sent to ESET for analysis.

Blackhole + CVE-2012-0507 = Carberp
суббота, 31 марта 2012 г.
http://amatrosov.blogspot.com/2012/03/blackhole-cve-2012-0507-carberp.html#more
По скриншотам нашел еще тогда рабочие ссылки на Carberp и заюзал эксплойт. :)

Я на Win32/LockScreen тоже снял видео ролик, музыку взял тут: http://go.eset.com/us/company/fun-stuff/
http://depositfiles.com/files/ff0unj513
:)
Изменено: EVE N - 18.04.2012 08:52:09
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
Пред. 1 ... 57 58 59 60 61 ... 167 След.
Читают тему