поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 87 88 89 90 91 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.11.2012 23:55:27

zloyDi
На V.T. файлов hosts - море.
и 90% не ловятся.
У них и получить.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 29.11.2012 17:40:13

uVS не удаляет файлы из :\WINDOWS\pchealth\helpctr\Temp
По каманде: Очистить карнизу и каталоги пользователей от временных файлов.

Это ошибка ?
Или сделано специально ?
Если специально для чего ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.12.2012 11:14:50

новый клинер добавлен от Есета:
Dorkbot.B Cleaner

+
формируется лог

Цитата
info: -------------------------------------------------------------------------------- info: ESET Win32/Dorkbot.B cleaner v1.0.0.3 (Nov 9 2012 09:44:30) info: -------------------------------------------------------------------------------- info: OS: 5.1.2600 SP3 info: Product type: workstation info: WoW64: 0 info: -------------------------------------------------------------------------------- debug: debug mode self-test info: AppData dir: \\?\C:\Documents and Settings\user\Application Data info: appdata dir: \\?\C:\Documents and Settings\user\Application Data info: generator starting point: cc807632, limit: cc807b12 info: Win32/Dorkbot.B NOT found info: cleaner status code: 2

Цитата

info: --------------------------------------------------------------------------------
info: ESET Win32/Dorkbot.B cleaner v1.0.0.3 (Nov 9 2012 09:44:30)
info: --------------------------------------------------------------------------------
info: OS: 5.1.2600 SP3
info: Product type: workstation
info: WoW64: 0
info: --------------------------------------------------------------------------------
debug: debug mode self-test
info: AppData dir: \\?\C:\Documents and Settings\user\Application Data
info: appdata dir: \\?\C:\Documents and Settings\user\Application Data
info: generator starting point: cc807632, limit: cc807b12
info: Win32/Dorkbot.B NOT found
info: cleaner status code: 2

Изменено: santy - 03.12.2012 11:48:15

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.12.2012 20:17:35

обращаю внимание, что в случае реализиции автоскрипта v2
http://www.anti-malware.ru/forum/index.php?showtopic=24339&view=findpost&p=164272

ценность сигнатур и поисковых критериев резко возрастет, поскольку построение автоскрипта основано именно на этих детектах и правилах.

Изменено: santy - 10.12.2012 20:17:50

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.12.2012 20:40:21

Malwarebytes разрабатывает антируткитную утилитку Malwarebytes Anti-Rootkit
http://www.malwarebytes.org/products/mbar/
пока еще на бета-стадии.

[ Как создать образ автозапуска? ]

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 10.12.2012 20:47:29

Во второй вер. Spybot данная утилитка отдельно на панели есть...Да Вы наверное видели уже.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.12.2012 15:38:39

В Высшей степени.

http://forum.esetnod32.ru/forum6/topic8041/
C:\USERS\ЕВГЕНИЙ\DOCUMENTS\ITERRA\TNKIFGN.DLL

ekrnEmon.dll
5.0.94.4
ESET Emon Service
ESET

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
C:\Users\Евгений\Documents\Iterra\tnkifgn.dll

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 15:58:18

Приложение из Google Play крадет деньги у клиентов "Сбербанка"

Цитата
30 ноября в Google Play была выложена прогламма "Сбербанк-СМС", с помощью которой злоумышленники получают доступ к одноразовым паролям пользователей интернет-банкинга "Сбербанк Онлайн". Атака проходит в несколько этапов. Сначала на компьютер жертвы попадает троян "Carberp", который ждет момента, когда пользователь пытается зайти в интернет-банкинг. В этот момент всплывает фальшивое окно с требованием ввести свой номер телефона, чтобы обеспечить дополнительную безопасность доступа. После ввода номера, пользователь получает SMS со ссылкой на приложение "Сбербанк-СМС", которое, якобы, необходимо для защищенной работы. Установленное приложение перехватывает одноразовые пароли, которые клиент получает от банка и передает их злоумышленникам. Специалисты Group-IB утверждают, что они обращались и в российское и в американское представительства Google, однако реакции не последовало - приложение до сих пор доступно в Google Play. Между тем, его скачало уже несколько сотен пользователей.

Цитата

30 ноября в Google Play была выложена прогламма "Сбербанк-СМС", с помощью которой злоумышленники получают доступ к одноразовым паролям пользователей интернет-банкинга "Сбербанк Онлайн".

Атака проходит в несколько этапов. Сначала на компьютер жертвы попадает троян "Carberp", который ждет момента, когда пользователь пытается зайти в интернет-банкинг. В этот момент всплывает фальшивое окно с требованием ввести свой номер телефона, чтобы обеспечить дополнительную безопасность доступа. После ввода номера, пользователь получает SMS со ссылкой на приложение "Сбербанк-СМС", которое, якобы, необходимо для защищенной работы. Установленное приложение перехватывает одноразовые пароли, которые клиент получает от банка и передает их злоумышленникам.

Специалисты Group-IB утверждают, что они обращались и в российское и в американское представительства Google, однако реакции не последовало - приложение до сих пор доступно в Google Play. Между тем, его скачало уже несколько сотен пользователей.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 13.12.2012 22:20:56

http://forum.esetnod32.ru/forum6/topic8078/

C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS
12.12.2012 в 14:12:33
Отсутствует либо ее не удалось проверить
Хэш НЕ найден на сервере.
тип запуска: При инициализации ядра (1)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.12.2012 14:34:30

добавьте в правила
--------
следует добавить правило на левый DNS
-------------

Цитата
Полное имя 5.199.140.180\Подключение по локальной сети 3\4\{2AE876C1-6F6A-4093-A71E-B507F0DC7A6F} Имя файла {2AE876C1-6F6A-4093-A71E-B507F0DC7A6F} Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS Удовлетворяет критериям ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1) Сохраненная информация на момент создания образа DNS 5.199.140.180 Статус DNS

Цитата

Полное имя 5.199.140.180\Подключение по локальной сети 3\4\{2AE876C1-6F6A-4093-A71E-B507F0DC7A6F}
Имя файла {2AE876C1-6F6A-4093-A71E-B507F0DC7A6F}
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS

Удовлетворяет критериям
ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1)

Сохраненная информация на момент создания образа
DNS 5.199.140.180
Статус DNS

http://pchelpforum.ru/f26/t112639/
http://pchelpforum.ru/f26/t112677/

[ Как создать образ автозапуска? ]

Пред. 1 ... 87 88 89 90 91 ... 167 След.