Технический форум
Страница 15 из 32 1234567891011121314 15 1617181920212223242526272829 Last »
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Как начать практически использовать uVS (http://www.tehnari.ru/f35/t193774/)

safety 18.11.2012 18:28
ПРИМЕР 7.
здесь образ
http://rghost.ru/41650650

Аркалык 18.11.2012 18:54
Цитата:
Сообщение от safety (Сообщение 971589)
ПРИМЕР 7.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096
chklst
delvir
regt 12
deltmp
delnfr
czoo
restart
Почему образ создан в виртуальный машина? :)

safety 18.11.2012 18:59
это тестовый пример.
это инфо тебе ни о чем не говорит?
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Имя файла LOGONGWIN.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
как думаешь, что будет после удаления этого криптика?

Аркалык 18.11.2012 19:06
safety, Этот файл отсутствует в образе:
Цитата:
Сообщение от safety (Сообщение 971619)
C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE

safety 18.11.2012 19:07
как он может отсутствовать в образе, если посчитаны его хэши?
---------
сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ
ВОТ ТАКАЯ ИНФО
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Имя файла DNSEOPLAY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger

Аркалык 18.11.2012 19:25
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.

safety 18.11.2012 19:28
тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение

Цитата:
Завершение процессов...
C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

safety 18.11.2012 19:50
Цитата:
Сообщение от Arkalik (Сообщение 971640)
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.
здесь много неверных и неточных утверждений.
1. это не копия userinit.exe, это отладчик приложения.
Цитата:
Неизвестный отладчик приложения(ий)
что именно будешь удалять? как будешь удалять? рабочий стол после выполнения скрипта не загружается.
Ктому же файл, оказывается с самозащитой
Цитата:
Файл Возможно защищенный файл
, и uVS не удалось удалить его в активной системе... удаление отложено после перезагрузки.
---------
и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы.

Аркалык 18.11.2012 19:53
safety, Файл защищен и не удаляется (при каждом перезагрузке изменяется имя файла)?
Цитата:
Сообщение от safety (Сообщение 971642)
Удалено файлов: 0 из 1

safety 18.11.2012 19:57
нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
-----------
здесь указано
Цитата:
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
что uVS изменил объект автозапуска, но файл не был удален, будет удален после перезагрузки...

так это надо понимать.


Часовой пояс GMT +4, время: 04:36.
Страница 15 из 32 1234567891011121314 15 1617181920212223242526272829 Last »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.