Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 02.07.2012, 21:28   #61 (permalink)
Hotab
Member
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,909
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 120
По умолчанию

Angel-iz-Ada, Сэнк!
Hotab вне форума   Ответить с цитированием
Старый 30.07.2012, 14:50   #62 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

здесь можно посмотреть
http://www.kompasnet.org/showthread.php?t=3471
----------
да, похоже подмена определения CLSID
должно быть так (это в своей системе смотрел. XP SP3)

должно быть прописано
Цитата:
%SystemRoot%\system32\SHELL32.dll
ветка реестра
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545 d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00 ,32,00,5c,00,53,00,48,00,\
45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c ,00,00,00
"ThreadingModel"="Apartment"
safety вне форума   Ответить с цитированием
Старый 03.11.2012, 21:33   #63 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

Здравствуйте уважаемые мои учителя!
Есть разница в программах HiJack This и RSIT? И какое из них лучше? Есть вообще разница у этих программ друг от друга?
Аркалык вне форума   Ответить с цитированием
Старый 03.11.2012, 21:37   #64 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Можно для начала сравнить логи обеих программ и сделать вывод самостоятельно. Hint: лог RSIT включает в себя лог HiJackThis, он его скачивает и запускает (если удалось).
Vvvyg вне форума   Ответить с цитированием
Старый 09.11.2012, 22:43   #65 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

Уважаемые специалисты раздела "Б"! Реально мне надоел, смотреть на ваши логи. Хочу испытать себя в настоящей войне, в поле боя против вирусов. Чтобы принять меня в ваш отряд, дайте мне несколько заложников для испытаний, например таких:
Простые логи 1 - Простые логи 2:
Средние логи 1 и т.д
Если провалю задание, все больше ну буду беспокоить. (это не шутка!)
Аркалык вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 10.11.2012, 13:58   #66 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Аркалик:
вот тебе пример1
http://rghost.ru/41467659

а) определить тип заражения (можно указать несколько классификаций),
б) написать скрипт лечения в uVS
safety вне форума   Ответить с цитированием
Старый 10.11.2012, 14:21   #67 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
а) определить тип заражения (можно указать несколько классификаций),
Тип заражения Win32/LockScreen (Баннер)

Цитата:
Сообщение от safety Посмотреть сообщение
б) написать скрипт лечения в uVS
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restart
Аркалык вне форума   Ответить с цитированием
Старый 10.11.2012, 14:24   #68 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

на lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?

Boot: Normal
------
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.

+
дополнительно,
создать критерий поиска по данному трояну, чтобы подобный образец мог вылавливаться с помощью критерия.
текст критерия можно здесь опубликовать.

+
еще один образ проанализировать так же
тип заражения,
скрипт с использованием сигнатуры,
критерий поиска для детекта данного трояна.

образ здесь
http://rghost.ru/41468310
safety вне форума   Ответить с цитированием
Старый 10.11.2012, 14:36   #69 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
на lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?
Название похоже на название баннеров

Цитата:
Сообщение от safety Посмотреть сообщение
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restart
Аркалык вне форума   Ответить с цитированием
Старый 10.11.2012, 14:39   #70 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

а по способу запуска можешь привести как банеры (winlock) стартуют в системе?

по применению сигнатур - нет важных команд, которые работают с сигнатурами.

+
смотри выше еще один пример.
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 17:17.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.