Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 125 126 127 128 129 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.01.2015 18:28:28
еще один свежий вид шифратора.

судя по тексту, слегка модифицированный вариант с *[email protected]
т.е. Trojan.Encoder.741/по классификации ДрВеб/
судя по исполняемому файлу из автозапуска - он же

ESET сейчас детектирует как

https://www.virustotal.com/ru/file/ddc676a3f583618b05dea0f97f54d4a3eddbda65765b2276­8a0433026c426441/...
ESET-NOD32     Win32/Filecoder.NAM
Изменено: santy - 28.01.2015 18:41:41
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.01.2015 13:45:32
Encoder.102 /DrWeb/Filecoder.NAM
зашифрованный файл имеет расширение *[email protected]_116
пример зашифрованного файла:
[email protected]_116

исполняемый файл, скорее всего доставляется в почту во вложении по всем правилам соц_инженерии:
ПОСТАНОВЛЕНИЕ СУДА.EXE.
Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ПОСТАНОВЛЕНИЕ СУДА.EXE
Имя файла                   ПОСТАНОВЛЕНИЕ СУДА.EXE
Тек. статус                 ВИРУС в автозапуске [Запускался неявно или вручную]
                           
Статус                      ВИРУС
Сигнатура                   Encoder.102 [глубина совпадения 64(64), необх. минимум 8, максимум 64]                                                    
Доп. информация             на момент обновления списка
SHA1                        240229E216F70C4E3CC29B3BF6C79F36884DCA55
MD5                         8049FEA2BE222D4A44629B25F78751F5                            
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
процесс шифрование завершается заставкой:

Изменено: santy - 29.01.2015 13:46:11
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 29.01.2015 20:03:31
Что меня всегда удивляет - почему они их распространяют с расширением .exe
вроде "умные"
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.01.2015 07:04:41
установщики шифраторов, которые распространяются через почту бывают не только exe.
js, scr, бывают doc c вредоносными макросами,.... как правило с удачно подобранной иконкой.

ты же сам иногда видеоролики скидываешь в виде исполняемого файла.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.02.2015 18:47:55
*xtbl

примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти, возможно и с функцией бэкдора, поскольку устанавливает подключение на удаленный порт.
генерируется код, который злоумышленники предлагают отправить на адрес:
на электронный адрес [email protected] или [email protected] .
"Далее вы получите все необходимые инструкции". (с), xtbl  
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.02.2015 18:09:01
*[email protected]

тело шифратора копируется после запуска в папку автозапуска
C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СУДЕБНАЯ ПОВЕСТКА ПО ГРАЖДАНСКОМУ ДЕЛУ №18244.EXE
ссылка: C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
пример зашифрованного файла:
[email protected]

скорее всего из серии: *[email protected], *[email protected] , т.е. encoder.741

по результатам ВирусТотал:
Дата анализа:     2015-02-03 11:00:59 UTC (4 часов, 3 минут назад)
DrWeb          ok 20150203
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32  ok       20150203
новый рескан:
https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e0­64aa481e8e01dc7e/...

DrWeb     Trojan.DownLoader12.17448
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32         ок 20150203  
[ Как создать образ автозапуска? ]
 
g0dl1ke
g0dl1ke
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 09.04.2013
Размещено 04.02.2015 08:09:39
ShadowExplorer позволяет просматривать теневые копий, созданных Windows Vista / 7/8 через Volume Shadow Copy Service.
Это особенно удобно для пользователей домашних изданий, которые не имеют доступа к теневым копиям по умолчанию, но и   не менее полезно для пользователей других изданий.

Размер: ~134Кб
Скачать:страница загрузки
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2015 08:17:03
еще один вариант encoder.741 с "слегка припудренным носиком".
*[email protected]

[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2015 08:19:32
g0dl1ke, напиши про ShadowExplorer в полезные программы.
[ Как создать образ автозапуска? ]
 
g0dl1ke
g0dl1ke
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 09.04.2013
Размещено 05.02.2015 07:55:46
santy, хорошо
 
Пред. 1 ... 125 126 127 128 129 ... 167 След.
Читают тему