09.02.2019, 15:29
KIS
Paczki, malware, złośliwe pliki, linki itp.
|
09.02.2019, 15:29
KIS
20.02.2019, 01:14
Rietspoof
Nowe cyberzagrożenie, które łączy formaty plików, aby stworzyć bardziej wszechstronny złośliwy program. Zagrożenie jest rozpowszechniane wśród ofiar za pośrednictwem komunikatorów internetowych, takich jak Facebook Messenger i Skype. Główną rolą Rietspoof jest infekowanie ofiar, utrzymywanie trwałości na zainfekowanych hostach, a następnie pobieranie innych złośliwych odmian - zależnie od zamówień, które otrzymuje z centralnego serwera sterowania i kontroli (C & C). Dokument .doc a w nim makro które po otwarciu się wykona. Treść widoczna jedynie dla zarejestrowanych użytkowników Jeśli ktoś zamierza się pobawić to zalecam użycie Office 2010 i Windows 7 32bity Wyodrębnione makro: [Aby zobaczyć linki, zarejestruj się tutaj] Jakieś tam moje wypociny: CreateFile C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs wscript.exe RegCreateKey HKLM\Software\Microsoft\Windows Script Host\Settings SUCCESS wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs Następuje wykonanie skryptu wscript.exe RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing SUCCESS wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs wscript.exe RegSetValue HKCU\Software\Classes\Local Settings\MuiCache\2F\52C64B7E\LanguageList SUCCESS wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs wscript.exe RegCreateKey SUCCESS HKCU\Software\Microsoft\SystemCertificates\My HKCU\Software\Microsoft\SystemCertificates\CA HKCU\Software\Microsoft\SystemCertificates\CA\CRLs HKCU\Software\Microsoft\SystemCertificates\CA\CTLs HKCU\Software\Policies\Microsoft\SystemCertificates HKLM\Software\Microsoft\EnterpriseCertificates\Disallowed wscript.exe RegCreateKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs TCP Connect 104.81.60.32:80 TCP Receive 104.81.60.32:80 C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs CreateFile C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect Modyfikuje ustawienia proxy Load Image C:\Windows\System32\expand.exe wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs "C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe expand.exe CreateFile C:\Users\victim\AppData\Local\Temp\$dpx$.tmp expand.exe CreateFile C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp Pliki wykonywalne zostały usunięte lub nadpisane "C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe expand.exe WriteFile C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp SUCCESS wscript.exe Load Image C:\Windows\System32\wbem\WMIC.exe Używa WMIC.EXE do utworzenia nowego procesu. Instrumentacja zarządzania Windows (WMI) to funkcja administracyjna systemu Windows, która zapewnia jednolite środowisko lokalnego i zdalnego dostępu do składników systemu Windows. Opiera się na usłudze WMI dla dostępu lokalnego i zdalnego oraz bloku komunikatów serwera (SMB) WMIC.exe RegCreateKey HKLM\Software\Microsoft\WBEM\CIMOM "C:\Windows\System32\wbem\WMIC.exe" process call create "schtasks.exe /Create /Sc MINUTE /MO 2 /TN \"\Microsoft Driver Management Service\" /TR \"C:\Users\victim\AppData\Local\Temp\iSatSrv.exe" Ładuje interfejs COM API Task Scheduler (Narzędzia, takie jak at i schtasks , wraz z Harmonogramem zadań systemu Windows, mogą być używane do planowania programów lub skryptów do wykonania w określonym czasie). Odpowiedzialna biblioteka C:\Windows\System32\taskschd.dll Load Image C:\Windows\System32\taskeng.exe taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1] RegCreateKey HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Configuration taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1] taskeng.exe RegSetValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{677D064B-7B63-4469-BB1C-4AE962C36FAE}\data SUCCESS taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1] Połączenia: iSatSrv.exe Load Image C:\Windows\System32\mswsock.dll C:\Windows\System32\WSHTCPIP.DLL TCP Connect 192.241.217.57:80 192.241.217.57:443 TCP Receive 192.241.217.57:80 192.241.217.57:443 Otwiera MountPointManager (często używany do wykrywania dodatkowych lokalizacji infekcji) Analiza AVAST: [Aby zobaczyć linki, zarejestruj się tutaj]
20.02.2019, 01:51
Hmm, jeśli się nie mylę to chyba Avlab o tym pisał, że to produkt Koreańczyków na Rosiję.
20.02.2019, 10:43
SAP: Avira wykrywa / APEX Śpi
Chmura: Avira / ESET wykrywa
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji 2)Odizolowanie i tworzenie osobnych baz danych/aplikacji 3)Kopia zapasowa systemu/ważnych danych. 4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
20.02.2019, 17:46
(20.02.2019, 01:51)rogacz napisał(a): To nie jest to zagrożenie. Tak na marginesie, ciekawym tez zagrożeniem wydaje się być Trojan Astaroth, który wykorzystuje oprogramowanie antywirusowe do kradzieży danych.
20.02.2019, 22:10
Avast Premier wykrywa.
22.02.2019, 16:45
Czy ktoś z Was posiada zarażony plik z niby fakturą T-Mobile ?.
[Aby zobaczyć linki, zarejestruj się tutaj]
MD + WHHL
23.02.2019, 00:05
(22.02.2019, 16:45)moriattipl napisał(a): ? Ten .VBS wypakowany z RAR to Trojan Downloader, pobiera zaciemnione skrypty w base64 i wykonuje za pomocą powershell, ładowność to trojan Bankowy Danabot
25.02.2019, 22:09
Witam
Żeby było jasne, to zagrożenie: [Aby zobaczyć linki, zarejestruj się tutaj] to jest to samo co powyżej, tyle że tam było RAR tu jest TARPodpisana próbka SmokeLoader
Treść widoczna jedynie dla zarejestrowanych użytkowników Orcus RAT Treść widoczna jedynie dla zarejestrowanych użytkowników Atak wykorzystuje wiele zaawansowanych technik unikowych, by ominąć narzędzia bezpieczeństwa. Po skutecznym ataku, Orcus RAT może wykraść pliki cookie i hasła przeglądarki, uzyskać zdalny dostęp do mikrofonu, kamery jak i monitorować naciśnięcia klawiszy na klawiaturze.
25.02.2019, 23:07
Avast Premier wykrywa po rozpakowaniu.
O i takie perełki lubie
SAP: Avira i APEX wykrywa zaraz po rozpakowaniu SAP: Chmura: AVG APEX ESET AVIRA
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji 2)Odizolowanie i tworzenie osobnych baz danych/aplikacji 3)Kopia zapasowa systemu/ważnych danych. 4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
26.02.2019, 06:29
Bitdefender Total Security połknął to migiem
26.02.2019, 10:48
Putin wykosił wszystkie pliki
27.02.2019, 00:05
Kolejna podpisana próbka Ursnif
Treść widoczna jedynie dla zarejestrowanych użytkowników Łączy się przez Internet Explorer
02.03.2019, 11:22
Kaspersky dziś przechwycił
02.03.2019, 12:11
Arcabit\MKS Blokował od dnia publikacji Ursnifa
Post sprawdzony przez MKS_VIR
03.03.2019, 01:19
Qakbot - podpisany cyfrowo
Treść widoczna jedynie dla zarejestrowanych użytkowników |
« Starszy wątek | Nowszy wątek »
|