поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 78 79 80 81 82 ... 167 След.

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 16.09.2012 18:28:35

в логах сканирования должна быть инфа, что он там удаляет

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.09.2012 02:02:42

Обновил базу проверенных.
* Были исключены совпадающие SHA1 с основной базой MAIN и добавлены новые.
Новых SHA1: 68469.
База SHA1

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 21.09.2012 06:51:51

кстати, и официальный MAIN обновился.
http://dsrt.dyndns.org/files/MAIN.zip

Цитата
660050 хэшей в базе [20.09.2012]

[ Как создать образ автозапуска? ]

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 21.09.2012 21:46:49

Цитата
RP55 RP55 пишет: Обновил базу проверенных.

поскольку ты работаешь со множеством образов интересно будет как раз систематизация знаний по типовым заражениям.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.09.2012 22:31:36

Цитата
santy пишет: Поскольку ты работаешь со множеством образов интересно будет как раз систематизация знаний по типовым заражениям.

???

Изменено: RP55 RP55 - 21.09.2012 22:32:37

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 21.09.2012 22:48:24

Например, что есть такое в инфо об объекте uVS, чего нет в описании данного зловреда из threat_encyclopaedia
http://www.virusradar.com/en/threat_encyclopaedia

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.09.2012 22:54:18

Если они проверяли/контролировали запуск вирусов через Hips.
Должна быть вся информация.
Да и смысл ?
Если всё время появляются новые модификации & изменения.
Что изменяется - знать полезно/нужно.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.09.2012 23:01:53

Есть мысль, что можно использовать для формирования поисковых критериев информации которую содержит сам объект.
В духе: "2*222:2B2J2R2Z2."
Есть в этом смысл, или нет.
Насколько это реально/практично ?
" Мы не должны ждать милостей от природы - мы должны взят их сами"
т.е.открыли файл > вытащили кусок информации > создали на его основе критерий.

Изменено: RP55 RP55 - 21.09.2012 23:02:41

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.09.2012 23:18:54

не, не катит - все те данные от балды написаны и каждый раз разные.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 22.09.2012 11:54:23

1. похоже сайт eset.eu прекратил свое существование, поскольку с него идет редирект на eset.com

2. threat-энциклопедия, которая была на *.eu перемещена на virusradar.com
http://www.eset.eu/encyclopaedia/win32-corkow-a-trojan-yakes-goc

сравнить можно с описанием объекта в uVS

Цитата
Полное имя C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3 Имя файла SYSRCPL.RC3 Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям _CORKOW (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND ( !~ STOBJECT.DLL)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 254464 байт Создан 02.10.2011 в 16:25:01 Изменен 02.10.2011 в 16:25:01 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя QUtil.DLL Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850) Описание Quarantine Utilities Copyright © Microsoft Corporation. All rights reserved. Производитель Microsoft Corporation Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 F0E0F1F5EC47AB1A67347388A4E9154C14E2E833 MD5 FB3ED55942F1BA06FDE7B52ECFFD9E85 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата

Полное имя C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3
Имя файла SYSRCPL.RC3
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_CORKOW (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1) AND ( !~ STOBJECT.DLL)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 254464 байт
Создан 02.10.2011 в 16:25:01
Изменен 02.10.2011 в 16:25:01
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя QUtil.DLL
Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание Quarantine Utilities
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 F0E0F1F5EC47AB1A67347388A4E9154C14E2E833
MD5 FB3ED55942F1BA06FDE7B52ECFFD9E85

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

[ Как создать образ автозапуска? ]

Пред. 1 ... 78 79 80 81 82 ... 167 След.