Перейти к содержанию
Сергей Ильин

Беляша подставили вирмейкеры? :)

Recommended Posts

Сергей Ильин

Собственно детали необычной и увлекательной истории подставы здесь

http://forum.kaspersky.com/index.php?showtopic=232546

http://virusinfo.info/showthread.php?t=118...ll=1#post880175

Везде фигурирует mrbelyash

Сам он в своем блоге пишет, что его подставили

http://mrbelyash.blogspot.com/2012/03/mrbelyash.html

Файлы шифруются энкодером и меняют расширение на *.mrbelyash

И дураку понятно, что это все мелкий пакостник Корректор пытается подставить.

Со спамом у него ничего не получается, пытается вот таким образом "сделать падлу".

Что я могу сказать-пишите заявление в отдел К на Корректора и vazonez.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Вот она - настоящая популярность! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Этот же Корректор ломал его акк на веповском форуме и в его блоге, так что война идет уже давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yawka
Этот же Корректор ломал его акк на веповском форуме и в его блоге, так что война идет уже давно.

Немного не так. На вепе не ломали аккаунт. Данные к нему получили из другого места.

Война так война.

Идет сбор данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Война так война.

Скажите, а погромы будут ? :unsure:

то есть - пресс-релиз от ДрВеп с новостью об этой очередной инновационной выходке распоясавшихся киберпреступников

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Последние сообщения Yawka удалены, поскольку нарушают правила форума (п. 11.1, 11.23).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Ппц... во у людей проблемы - винлоки клепают. Собсна... обычная новость, ничего интересного, да и меня часто товарисчи просят пофиксить им компег от очередного локера, но... что то щаз просто не удержался от комментария по теме. А суть моего коммента в том, что: "№;%:?!!! Вот эт насколько должен быть глубокий ФГМ, что бы ТАК подставляться? Ктомуже, нужно все таки до конца дочитать брошюру "Компег для чайникофф", и понять, что винлокеры - это школота... :rulz::facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ктомуже, нужно все таки до конца дочитать брошюру "Компег для чайникофф", и понять, что винлокеры - это школота... rulz.gif facepalm.gif

Вам бы самому для начала понять, о чём речь. Ибо обсуждаемая вредоносная программа, которая связана с подставой - не винлок :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Вчерашний ахтунг -школота, косящий под Беляша уже на форуме ЛК http://forum.kaspersky.com/index.php?showtopic=231677 :lol:

Но по всей вероятности, разновидность GpCode не его работа. Покупка конструктора и обычный Encoder, потолок для школоты. Ведь надо крипторы менять, чтоб не палиться, алгоритмы шифрования. Видимо в тупую хочет развести на 100 евро.

Хотя ошибся, это продвинутая школота http://forum.kaspersky.com/index.php?showtopic=232546

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Объясните пожалуйста мне, как дилетанту.

Из-за чего весь этот маскарад? К чему такие подставы? Откуда, а точнее из-за чего такой "скандал"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Беляш подставил себя сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Чем подставил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Сам беляш знает ники тех, кто его якобы подставляет и они его знают, вплоть до ФИО, даты рождения и адреса проживания. Видимо хотел приключений вот и получил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@это продвинутая школота@

"Продвинутой" стала тем, что прикрутила к своей недоподелке RSAlib'у?) Тоесть по факту, у людей не хватило знаний запилить криптор средней руки с поддержкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Скажите, а погромы будут ?

Затянулась история чего-то :(

Я думаю все ждут сожженых трейлеров, выстрелов из травмата, бейсбольных бит в ... и новостей об этом по ТВ :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Затянулась история чего-то :(

Я думаю все ждут...

Nobody cares.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×