Jump to content
regist

AVZ не видит автозапуск вирусного сайта через CMD

Recommended Posts

Если прописать запуск сайта так

O4 - HKCU\..\Run: [vladj] = C:\Windows\system32\cmd.exe /c start www.exinariuminix.info

AVZ 4.46 видит эту запись частично. То есть в табличной части лога он её не видит и лишь упоминание в текстовой части лога

7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vladj = [cmd.exe /c start www.exinariuminix.info]

AVZ 5 вообще не видит запуск сайта. Проблема стабильно воспроизводится на нескольких последних билдах полиморфа.

Цитата

5.11 private build [24.12.2018 19:51:22]

также полностью не видит этой строки в автозапуске.

Share this post


Link to post
8 часов назад, regist сказал:

AVZ 5 вообще не видит запуск сайта. Проблема стабильно воспроизводится на нескольких последних билдах полиморфа. 

также полностью не видит этой строки в автозапуске.

Очень странно, сейчас попробую воспроизвести

Share this post


Link to post

Хитрая ситуация, весьма - хорошо, что строка была через буфер вставлена. Строка:

www.exinariuminix.info

является не тем,чем кажется визуально ! там первая точка на самом деле не точка (т.е. символ с кодом 0x23, а юникодный символ с кодом  0xFEFF). Вторая точка - обычная. В эвристике реакции на URL прописана маска "www." - вот она и не сработала. А если эвристика не срабатывает, то AVZ считает такой путь запуском легитимной утилиты cmd.exe и не рассматривает далее. Сейчас исправлю такую реацию

Share this post


Link to post

Ещё пример. В логе Hijackthis видно:

Цитата

O4 - HKCU\..\Run: [dima] = C:\WINDOWS\system32\cmd.exe /c start www.dipladoks.org
O22 - Task: dima - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v dima /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

В логе AVZ видно только задание (почему-то не подсвеченное).

Подобное "заражение" сейчас популярно. Если нужно, могу ещё несколько логов подобрать.

virusinfo_syscheck.zip

Share this post


Link to post

И попутно, обновите, пожалуйста, полиморф. С прошлого года не обновлялся :)

Share this post


Link to post

Тут немного другая ситуация, но также соотсветвует названию темы.

O4-32 - HKLM\..\RunOnce: [{9A52CD82-6267-4CF3-AD3C-7714E51825AA}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\uchih\AppData\Local\Temp" /B {9A52CD82-6267-4CF3-AD3C-7714E51825AA}.cmd
O4-32 - HKLM\..\RunOnce: [{E9718251-E17D-47E5-9BC8-3616140BC4AE}] = C:\Users\uchih\AppData\Local\Temp\{84A82499-42C4-4E6D-8243-49F8EF9C73D9}\{E9718251-E17D-47E5-9BC8-3616140BC4AE}.cmd  (file missing)

 

Share this post


Link to post
В 24.01.2019 в 14:05, Sandor сказал:

обновите, пожалуйста, полиморф

Просьба становится очень актуальной, пошел второй месяц с момента выпуска предыдущей версии.

Сабж также актуален, вот очередной комплект логов. Строка:

Цитата

O22 - Task: interoman - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v interoman /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

никак не подсвечена.

virusinfo_syscheck.zip

Share this post


Link to post
16 часов назад, Sandor сказал:

Просьба становится очень актуальной, пошел второй месяц с момента выпуска предыдущей версии.

Проблема поймана, она была не в самой версии, при сборке итоговой утилиты не та база попадала, что нужно. И в результате был глюк с детектором подозрительных элементов автозапуска, отсутствующий на тестах ... в версии 5.12 этот глюк исправлен, и подобные элементы должны выделяться красным в логе как положено, просьба проверить это.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.