Размещено 21.01.2012 14:40:37
| Цитата |
|---|
| Арвид пишет: у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
поговорить о uVS, Carberp, планете Земля
поговорить о uVS, Carberp, планете Земля
Размещено 21.01.2012 14:35:15
| Цитата |
|---|
| Арвид пишет: Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ |
Я отобрал себе все образы по Corkow какие у меня есть,
отсортировал по типам старта:
LanmanServer,
ShellServiceObjectDelayLoad
и третий, неизвестный,
потому и разбираюсь с третьим случаем, что он в последнее время наиболее часто встречается.
Изменено: santy - 21.01.2012 14:38:47
поговорить о uVS, Carberp, планете Земля
[ Закрыто] Оперативная память » svchost.exe(1116) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна, Нод при сканировании выдает кол-во зараженных обьектов(1)-Оперативная память » svchost.exe(1116) - ....так же при запуске компа появляется окно с сообщением об этой угрозе.
поговорить о uVS, Carberp, планете Земля
поговорить о uVS, Carberp, планете Земля
Размещено 21.01.2012 13:47:54
продолжение.
ключ в HKCU проверяется в uVS в том случае, если троян стартует из
uVS проверяет этот ключ,
потому и видит вторую ссылку
в модифицированном случае:
либо тр. в явно не прописан systray,
либо прописан в параметре systray, но ключ этот скрыт;
либо стартует из другого параметра.
либо имеет место переопределение CLSID соответствующее объекту systray.
----------
потому, предлагаю использовать bat-файл для сбора инфо о реестре из приложения.
ключ в HKCU проверяется в uVS в том случае, если троян стартует из
| Цитата |
|---|
| HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO |
потому и видит вторую ссылку
| Цитата |
|---|
| HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\ |
либо тр. в явно не прописан systray,
либо прописан в параметре systray, но ключ этот скрыт;
либо стартует из другого параметра.
либо имеет место переопределение CLSID соответствующее объекту systray.
----------
потому, предлагаю использовать bat-файл для сбора инфо о реестре из приложения.
Изменено: santy - 21.01.2012 13:52:31
поговорить о uVS, Carberp, планете Земля
Размещено 21.01.2012 09:28:48
здесь может две стратегии:
либо закидывать сети с помощью adddir,
либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.
либо закидывать сети с помощью adddir,
либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.
Оперативная память » explorer.exe(452) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
Размещено 20.01.2012 20:45:51
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта
| Код |
|---|
;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679BF0AA02A4C00BC4C6E549C80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7B30848F75C4C32EF4CAE06150CA3BE4AC965B2FC706AB7E 8 tr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.5992646499010562.EXE bl C27728AD5E00A97701BC3108F6965670 311296 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.5992646499010562.EXE chklst delvir deltmp delnfr regt 12 restart |
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Изменено: santy - 20.01.2012 20:46:51
(add)
Оперативная память » explorer.exe(452) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Heeeelp