Перейти к содержанию
Guest A...

PAK-FA Exploit KIS 2015 - Filecoder

Автор Guest A..., в Антивирус Касперского - покупка, использование и решение проблем

Recommended Posts

Guest A...   

Guest A...
Опубликовано (изменено)

Filecoder находится в базах Касперского, но он упакован в SFX с паролем и запускается за счет службы(группы) раньше Касперского!

https://www.virustotal.com/ru/file/74f404f2...sis/1398695558/

MD5 42b1fd6580bdd7808940cb9d11bd083c

C:\Users\VITALIKEAV\Desktop\PAK-FA.exe » ENIGMA » mainBinary.exe » WINRARSFX » CMT - is OK

C:\Users\VITALIKEAV\Desktop\PAK-FA.exe » ENIGMA » mainBinary.exe » WINRARSFX » setex.sfx.exe » RAR » CMT - is OK

C:\Users\VITALIKEAV\Desktop\PAK-FA.exe » ENIGMA » mainBinary.exe » WINRARSFX » setex.sfx.exe » RAR » setex.exe - Incorrect file checksum (CRC); the file is probably password protected.

C:\Users\VITALIKEAV\Desktop\PAK-FA.exe » ENIGMA » mainBinary.exe » WINRARSFX » cmd.bat - is OK

C:\Users\VITALIKEAV\Desktop\PAK-FA.exe » ENIGMA » packerRuntime.dll - is OK

Вот проверил на KIS2015, он выполнился и затем перезагрузил ПК, Касперский нечего не поймал! :)

45.PNG

post-20682-1398697129_thumb.png

Отредактировал A...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest A...   

Guest A...
Опубликовано

Filecoder запустился(есть в базах) раньше службы ESET(поэтому и запустился), но:

;)

______65.PNG

post-20682-1398699484_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Petrovic    4

Petrovic
Опубликовано

Угу , XP актуальна как никогда :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kapral    311

Kapral
Опубликовано

Виталег, у тебя рука не болит? ответить 128 раз на разрешение запуска? ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest A...   

Guest A...
Опубликовано
Виталег, у тебя рука не болит? ответить 128 раз на разрешение запуска? ;)

Сотрудники LK легко могут достать этот файл с VT и проверить. Касперский не разу не пискнул, не вовремя регистрации службы(батник) не вовремя исполнения самого Filecoder, так как его запускает служба(sfx архив с паролем), которая благодаря группе всегда будет запускаться раньше службы Касперского.

Не разу не пискнул! Касперский с настройками по умолчанию, базы обновлены, ПК перезагружен, сам Filecoder у него в базах. Обходится файловый монитор Касперского, вся проактивка, PDM...

;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Антивирус Касперского - покупка, использование и решение проблем

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×