поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 74 75 76 77 78 ... 167 След.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 06.07.2012 11:56:47

Цитата
santy пишет: Сертификаты, замеченные во флейме отозваны

Это наверное долгая история будет - нужно устанавливать обновления для получения результата.
----------
Так, что по файлу ?
Как правильно это лечить ?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.07.2012 12:00:33

ну почему же,
обновления выпущены, кто пользуется Windows Update, тот их установит вручную или автоматически. Я лично использую автоматическое обновление.

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 06.07.2012 13:28:46

Flame Подделка сертификатов Windows Update через атаку на коллизию хеша...

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 06.07.2012 14:37:14

Вопрос.
По какой причине могут самопроизвольно изменяться Sha1 файлов ?
При том, что информация по цифровой подписи сохраняется но проверку подлинности подпись не проходит.
Должно это быть связанно с некорректной работой HDD - ?
Или есть другая причина ?

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 09.07.2012 15:57:53

Я это к чему написал.
Есть файл: RTHDCPL.EXE
Sha1 - файла периодически меняется.
Размер остаётся неизменным = 19.595 Kb.

При проверке Live CD имеем результат:
Оригинальное имя RTHDCPL.EXE
Версия файла 2.4.0.4
Описание Realtek HD Audio Control Panel
Производитель Realtek Semiconductor Corp.

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл Файл имеет хэш/размер отличный от сохраненных [возможно заражен]

Все файлы на C:\ добавлены в базу проверенных.
При проверке по F4 получил результат, что: "Файл Не найден в базе проверенных."
Файл заменил на чистый из:
C:\WINDOWS\system32\ReinstallBackups\0027\DriverFiles
Проверил по F4 - Результат: "Всего неизвестных файлов: 0 "
После перезагрузки Sha1 снова изменился !... ( возможно пару раз перезагружал )
Такой фокус несколько раз повторился пока файл не заменил из под Live CD
* Обновлений и прочего для Realtek не устанавливал.
На V.T. Результат проверки
У файла с изменённым Sha1 есть цифровая подпись которая не проходит проверку.

Вот я и думаю, как на этот фокус реагировать.

Прикрепленные файлы

2012-07-06_215440.jpg (13.93 КБ)

2012-07-09_175122.jpg (28.71 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:42:48

трояны пошли врукопашную.

Цитата
Polymorphic bootstrap code Since Rovnix.B the modified bootstrap code has used polymorphic code in order to bypass static antivirus signature detection. Originally, polymorphic decryption code was detected in Carberp samples incorporating bootkit code. The following figure shows the basic workings of the polymorphic decryption code.

http://blog.eset.com/2012/07/13/rovnix-bootkit-framework-updated

собственно, в последнее время это было заметно, что сигнатура загрузчиков стала часто меняться.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.07.2012 12:19:25

утилитка развивается для удаления навязчивых сервисов.
http://forum.simplix.ks.ua/viewtopic.php?id=423

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 12:41:31

Цитата
santy пишет: утилитка развивается

Весьма неплохо.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 23.07.2012 13:47:33

И снова маячок...
http://forum.esetnod32.ru/forum6/topic6408/
D:\WINDOWS\SYSTEM32\SCDCOVL.DLL

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 14:21:39

ну хоть RP55 не дремлет

[ Как создать образ автозапуска? ]

Пред. 1 ... 74 75 76 77 78 ... 167 След.