Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 92 93 94 95 96 ... 167 След.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 26.01.2013 23:24:10
Цитата
RP55 RP55 пишет:
По механизму работы/Запуска вируса по типу: GIGALAN.TXT
т.е. Это рабочий вариант вируса ?

Это нужно в вирлабе спросить, я всех тонкостей не знаю... но сегодня заметил еще одну странность с детектом файла HOSTS, ранее он детектился только в такой варианте, без расширения, сегодня же после создания файла HOSTS.txt файл тоже определился как вирус, возможно что то подкрутили для верности... :)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.01.2013 23:39:11
В Вирлабе могли не обратить внимания...
Не придать значения с каким расширением к ним поступил файл.
В конце концов смена расширения для опасных & потенциально опасных файлов дело обычное.
Если файл не был ими получен с соответствующими комментариями ?

Вот например реализовано:  из jpg файла сделали вирус.
И расширение: jpg
Наверно и расширение txt можно приспособить.
Подробно наверно не скажут...:(
Хотя бы в общих чертах. :)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.01.2013 08:26:16
здесь формальная смена расширения. gigalan.txt это ведь не текстовый файл по структуре, а исполняемый. примеров таких запусков сколько угодно. те же сервисные dll в LanManserver могут иметь формальное расширение любое.
Изменено: santy - 27.01.2013 08:26:29
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.01.2013 00:36:39
На тему GIGALAN.TXT

cyberforum.ru/bsod/thread772020.html

forum.drweb.com/index.php?showtopic=312516
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.01.2013 06:50:47
Цитата
На тему GIGALAN.TXT
не густо.

если говорить о симптомах заражения gigalan/mkdrv/newdriver,
то возможно такие:

Цитата
Сначала Касперский выдавал ошибку "Отсутствует или поврежден черный список лецензионных ключей. Обновите". Обновление результатов не дало - ошибка.

Цитата
еще антивирус стал не обновлятся пишет что ошибка создания временного файла
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.02.2013 08:35:59
новый вариант запуска Corkow
--------
Цитата
Полное имя                  C:\USERS\IGOR\APPDATA\ROAMING\MICROSOFT CORPORATION\SEREUXLE.INE
Имя файла                   SEREUXLE.INE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Размер                      109056 байт
Создан                      16.08.2011 в 18:47:18
Изменен                     16.08.2011 в 18:47:18
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            VERSION.DLL
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Version Checking and File Installation Libraries
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
Процесс создан              12:55:16 [2013.01.30]
С момента создания          00:13:16
parentid = 2620             C:\WINDOWS\EXPLORER.EXE
UDP                         127.0.0.1:49677
SHA1                        D05A71AE1A9C10DD4B4D587F005DA1C3B9F3436E
MD5                         9915952BDF5E58417544AD216230D1FF
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3508281026-3785258510-1211421429-1001\Software\Microsoft\Windows\CurrentVersion\Run\NvCplWow6­4
NvCplWow64                  %SystemRoot%\SysWOW64\Rundll32.exe "%AppData%\Microsoft Corporation\sereUXLe.ine",Control_RunDLL
описания на VirusRadar отсутствует
http://www.virusradar.com/en/Win32_Corkow.F/description
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.02.2013 14:54:49
Арвид, а эти подключения зачем очищаешь?
Цитата
setdns Подключение через адаптер широкополосной мобильной связи 2\4\{3414C3DB-CED2-4104-A2DD-C60D46A1C0D6}\
setdns Подключение через адаптер широкополосной мобильной связи\4\{B54ADED1-2373-4543-97AE-56A328192C5B}\
они же легальные скорее всего.
http://www.nic.ru/whois/?query=83.149.33.194
Цитата
inetnum:        83.149.32.0 - 83.149.35.255
netname:        MF-UGSM
descr:          Ural Branch Of OJSC MegaFon GPRS/UMTS Network, Pool 1.
country:        RU
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.02.2013 14:55:58
Все равно мобильное соединение - автоматом получит нужные DNS :)
Правильно заданный вопрос - это уже половина ответа
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 04.02.2013 23:14:26
Дорогие форумчане, давайте не будем распространять вирусные ссылки на форуме, если подобные ссылки не ловятся нодом, шлем их в вирлаб или супорт.

Спасибо за понимание.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.02.2013 12:00:26
критерии созданные по русским образам не походят для анализа англоязычного образа, точнее те критерии, которые содержат наименования полей.
--------------
Цитата
Fullname                    C:\SYSTEMHOST\24FC2AE385A.EXE
Filename                    24FC2AE385A.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
SPY.SPYEYE                  (ПОЛНОЕ ИМЯ ~ SYSTEMHOST)(0)   OR   ( ~ \SYSPROC.BIN\)(0)   OR   ( ~ \RECYCLE.BIN\)(0)   OR   (ПОЛНОЕ ИМЯ ~ .BI\)(0)   OR   (FULLNAME ~ \SYSTEMHOST\)(1)
                           
Сохраненная информация      на момент создания образа
Status                      [Indirect or Manual]
Size                        282624 bytes
Created                     02.03.2006 в 16:00:00
Modified                    09.02.2009 в 14:54:16
Type of file                32-bit EXECUTABLE
Digital signature           Not found
                           
Additional information      on refresh time
SHA1                        3BC5AEE178E1C64C563E947F2F7F0A5CD504815C
MD5                         3AB61240397F628173D6BCD3D75AD1A5
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 92 93 94 95 96 ... 167 След.
Читают тему