Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz

С чем связан такой всплеск активности Carberp и количество пропусков (или пост_детектов) ESET NOD32?
Win32/Carberp это семейство троянских программ, которые могут быть доставлены с помощью вредоносного кода, например, путем вариантов брешь в безопасности: JS / Blacole.Троян загружает другие Win32/Carberp компоненты для выполнения полезной нагрузки кодов, таких как кража банковских учетных данных онлайн и войдите в систему данные из множества других программных приложений, загрузки и выполнения произвольных файлов, экспорт установленных сертификатов, захват скриншотов и регистрация нажатий клавиш.
----------
Неплохое описание от Микрософт.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32%2FCarberp
Изменено: santy - 14.11.2011 19:25:28
Вот здесь про него писали ещё в начале года: http://www.esetnod32.ru/.company/news/index.php?id=68643

Причём, именно в России уже на тот момент был самый большой процент заражения.
ESET Technical Support
Цитата
santy пишет:
Carberp

Похоже, что uVS уже не справляется с новыми модификациями.
Или, же эффективность крайне низкая.
Думаю программа нуждается в доработке.
----------------------------------------

Ну и немного юмора.  :)
Фотографический портрет кота - CarberpА.
Изменено: RP55 RP55 - 17.11.2011 22:06:52
Кого это они кусают? ОС Windows?  :D
Правильно заданный вопрос - это уже половина ответа
Цитата
RP55 RP55 пишет:
Цитата
santy пишет:

Carberp


Похоже, что uVS уже не справляется с новыми модификациями.

Или, же эффективность крайне низкая.

Думаю программа нуждается в доработке.
----------------------------------------
возьми и проверь детект из под Live.CD для тех случаев, когда нет заражения явного carberp, или заражен ipl,
тогда можно будет точнее знать, в чем причина непопадания его в образ автозапуска.
-------
+ 2
нужен образец такого "котика", если речь идет о доработке.
опять же, его можно достать только через Live.CD если он там есть
Изменено: santy - 17.11.2011 22:25:49
а можно в личку получить сам вирь? каждый день ведь получаете новые их версии)
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
а можно в личку получить сам вирь? каждый день ведь получаете новые их версии)
а смысл? зачем нужен образец, который виден в uVS?
нужно разобраться с теми образцами, которые не видны uVS (если они там действиетльно есть)
думаю места заражения у них одинаковые или похожие
Правильно заданный вопрос - это уже половина ответа
Арвид, прежде чем обращаться к разработчику с тем, чтобы оптимизировать антисплайсинг под возможно новые модификации Carberp, надо все таки для себя в точности определить, что файл действительно есть в автозапуске, но не виден из-за используемого сокрытия.
Изменено: santy - 17.11.2011 22:53:05
Читают тему (гостей: 2)