поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 4 5 6 7 8 ... 167 След.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:59:50

Цитата
RP55 RP55 пишет: файл > Добавить файлы каталога в список. Так его видно ?

если в этот момент он там будет - то да. если не будет - то нет

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 22:00:41

и эта антистелс (или как там ее) функция не помощник тут

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 21.11.2011 22:05:03

Цитата
Арвид пишет: о, неужели получилось со второй попытки)) перевел просто число на завтрашний день.

Видимо пишет данные в файл - и каждые 24 часа передаёт данные хозяину через другую инфицированнцю машинку.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 21.11.2011 22:10:57

Цитата
Арвид пишет: если в этот момент он там будет - то да. если не будет - то нет

Значит в этот момент - тела нет - А есть только заражение оперативной памяти.
А сброс атрибутов файлов/каталогов, как либо на этот процесс может повлиять ?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 22:12:00

начинаю верить в эту антистелс технологию - файл появлялся во время скана в uVS. потом также неожиданно пропадал
а бывает что в папке не появляется, но uVS в логе его показывает

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 22:14:28

по-моему научился выявлять вирь в папке - попытался переименовать пару раз папку Автозагрузка - система говорит что не может, так как папка используется. захожу в папку - вижу файл наш любимый. через секунду пропадает. еще раз переименовываем папку - файл появляется

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:20:54

Цитата
Арвид пишет: начинаю верить в эту антистелс технологию - файл появлялся во время скана в uVS. потом также неожиданно пропадал а бывает что в папке не появляется, но uVS в логе его показывает

--------
Арвид,
а вот еще один интересный факт
как я уже писал, при повторной перезагрузке uVS видел его в автозапуске, но фар уже не показывал его в папке автозапуска.
и закарантинить файл уже нельзя было.... он исчез....
---------
загрузился под Live.CD, в образе уже нет файлика Carberp.
но зато вижу, что IPL не проходит по списку безопасных uVS.
---
перегружаюсь обратно в систему, файлика уже нет в образе uVS, но зато IPL уже заражен, и попадает под детект сигнатур. rt.Cidox.

Цитата
Полное имя IPL NTFS [C:] Имя файла IPL NTFS [C:] Тек. статус ВИРУС загрузчик www.virustotal.com Хэш НЕ найден на сервере. Сохраненная информация на момент создания образа Статус загрузчик Размер 7680 байт Доп. информация на момент обновления списка SHA1 CF5DDB9F4755EF2B929AFB37324A178AD1A1059C

Цитата

Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ВИРУС загрузчик

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 CF5DDB9F4755EF2B929AFB37324A178AD1A1059C

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:25:13

вот пожалуйста.
http://www.virustotal.com/file-scan/report.html?id=54885f961ac16d7656fe9fb725889c4223b005907302db62dff88bb6efa37195-1321899245
следует, заражение зарузочного сектора - тоже результат запуска трояна Carberp.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 22:28:40

да уж...
а мои загрузчики не тронуты. проходят проверку по базе
переименовал с помощью Unlocker'a папку Автозагрузка в Автозагрузка123 - система автоматом захотела прописать путь (скрин что в начале показывал) к новой папке. я запретил. сейчас перезагрузился. система автоматом создала новую пустую папку Автозагрузка. моя папка Автозагрузка123 лежит не тронутая и в ней сидит спокойно вирус и ничего не делает. в реестре запись к пути изменился на По умолчанию. сообщения о заражении нет. вот так

Прикрепленные файлы

Image 135.png (15.16 КБ)

Image 136.png (3.64 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 22:32:20

то есть хватает поправить параметр HKEY_USERS\S-1-5-21-****************\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup на любой другой путь и перезагрузиться - вирус деактивируется. конечно при условии что он сразу не пропишет путь какой и был (я то HIPS'ом это сделать запретил). также повезло что он ничего не прописал в загрузочный сектор.
santy,
возможно разные модификации себя по разному ведут. сколько твой зловред весит? моего видно на скрине

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 4 5 6 7 8 ... 167 След.