поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Многие легальные продукты имеют не документированные возможности.
Так недавно был скандал с HP
https://xakep.ru/2017/12/11/hp-one-more-keylogger/
это порадовало:

Цитата
Threat 3638 name_computer Av 2018-04-24 12:03:25 2018-04-24 11:52:24 Warning Registry scanner file \\Name_computer\ROOT\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer".script JS/Agent.NUN trojan cleaned by deleting
Цитата
A new in-development ransomware was discovered that has an interesting characteristic. Instead of the distributed executable performing the ransomware functionality, the executables compiles an embedded encrypted C# program at runtime and launches it directly into memory.
Было обнаружено новое средство разработки, которое имеет интересную характеристику. Вместо распределенного исполняемого файла, выполняющего функциональные возможности ransomware, исполняемые файлы компилируют встроенную зашифрованную программу C # во время выполнения и запускают ее непосредственно в память.

https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
Цитата
RP55 RP55 написал:
Многие легальные продукты имеют не документированные возможности.Так недавно был скандал с HP https://xakep.ru/2017/12/11/hp-one-more-keylogger/
Просто супер, Браво HP!) А вообще Минг тоже молодец что нашел такую вещь, Спасибо вам за статью очень познавательно!
Цитата
Лука Ефремов написал:
Просто супер, Браво HP!
Не они первые и не они последние.
" И вновь продолжается бой...
И сердцу тревожно в груди... "
https://tvzvezda.ru/news/vstrane_i_mire/content/201805160910-xq7c.htm
Цитата
Затем StalinLocker отобразит экран блокировки, содержащий 10-минутный обратный отсчет, до тех пор, пока ваши файлы не будут удалены или вы не введете код. Согласно MalwareHunterTeam, этот код выводится путем вычитания текущей даты, когда программа была выполнена к дате 1922.12.30. Если пользователь вводит правильный код, locker будет снят и удален из автозапуска.

https://www.bleepingcomputer.com/news/security/stalinlocker-deletes-your-files-unless-you-enter-the-right-code/

имеет смысл грузиться с winpe и проверять что там есть в автозапуске.
Новая программка: Hijack Cleaner       Beta

Цитата
Инструмент для обнаружения и удаления скрытых угроз, которые могут быть в вашем веб-браузере. Поддерживает Chrome, Firefox и Internet Explorer

https://www.comss.ru/page.php?id=5069
https://www.anti-malware.ru/news/2018-07-02-1447/26684
Мутант: Worm.Win32.NeKav.a (eKav)

Цитата
Вредоносная программа Worm.Win32.NeKav.a  - это программа-вымогатель. Вредоносная программа вымогает у пользователя деньги, мешает нормальной работе и обладает способностью к несанкционированному саморазмножению по съемным носителям. Является динамически загружаемой библиотекой Windows (PE-DLL файл).  Вредоносная программа Worm.Win32.NeKav.a имеет размер 129536 байт, написана на языке программирования Delphi.

Вредоносная программа Worm.Win32.NeKav.a выводит на экран сообщение об обнаружении вредоносного ПО. Сообщение содержит требование - отправить смс с определенным кодом на указанный в сообщении номер, чтобы продолжить работу и очистить систему от вирусов и трояно
в.
Читают тему (гостей: 14)