- Все побежали и я побежал(с) Василий Алибобаевич
Посмотрел я что все начали создавать здесь свои блоги, да и подумал что 4-й по счету блог мне не помешает. Буду по мере появления нового гамна в своей жизни рассказывать здесь.

Кстате, кто еще не запасся монтировкой, советую вам сбегать и прикупить ее пока не поздно, поскольку до запуска Большого Адронного Колайдера осталось 6 дней, если конечно запуск снова не перенесут. )))

Вот вам песенка хедкраба, новый гимн апокалипсиса:

Я - Хэдкраб!
Я не ел две недели, и у меня опухли клешни,
Я сам не видел, но как-то неловко.
Я - Хэдкраб!
И у меня нет башки, мне отбили её монтирвкой.

Йо Йо Йо солдат орет,
Разорваный рот у солдата, потомучто граната.
Пусть маловато, ох как маловато, но съем у солдата.

Я - Хэдкраб! Я - вымирающий вид.
Я - Хэдкраб! Потомучто питаюсь мозгами.
Я - Хэдкраб! Опаньки, вон Freeman бежит.
Я - герой! А дальше додумайте сами...
(c)bash.org.ru

| Сообщение посчитали полезным:

Авторы НОДа вобще вас, я спокойно во время его работы сделал так, чтобы во время проверки файлов, если базы не новые, не было сообщения об этом, ну а сам антивирь хороший очень и не тормозной как кис 2009

| Сообщение посчитали полезным:

Вчера тихий гром предложил поковырять малварю, хотя в итоге он сам с ней разобраться, но я всетаки расковырял, если кому интересно то вот краткое описание и сама малваря:

Dr.Web с последними базами идентифицирует этого зверя как: Trojan.Siggen.302

Как работает этот зверек: iehttp.exe пакован UPX v3.0 (10 level),
спокойно снимается тем же UPX'ом. В ресурсах iehttp.exe зашит бинарник, который
при извлечении переименовывается в msxml71.dll (ACProtect 1.3x - 1.4x DLL) и закидывается в %WinDir%\system32
Так же в реестре создается запись по адресу [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
(см. файл iehttp.reg). Вот собственно и все.

Файлы в папке:
iehttp.exe - собственно само тело
msxml71.dll - файл вынутый из %WinDir%\system32
iehttp.dll - тот же самый файл, что и msxml71.dll только извлеченный ручками из iehttp.exe
msxml71_unpacked.dll - анпакнутая msxml71.dll
iehttp.reg - экспортированная из регистра запись, которую создает iehttp.exe

(с) g-l-u-k^tmx 2008

В аттаче запароленный архив с этой малварей, если кому интересно. Пароль - 0000

d67a_17.10.2008_CRACKLAB.rU.tgz - Trojan.Siggen.302_pass_0000.rar

| Сообщение посчитали полезным:

g-l-u-k пишет:
UPX v3.0 (10 level)
блин, возможно из-за этой фигни Dr.Web ругается на UPX 3.х с максимальным сжатием.

| Сообщение посчитали полезным:

g-l-u-k
боян, это бхо старо как 100 кетайцев..

| Сообщение посчитали полезным:

sniperZ пишет:
боян, это бхо старо как 100 кетайцев..
Вы наверное хотели сказать, что это старо как 100 сниперов ^_^

P.S. Вот вам картинка на тему холиваров Виста vs Хрюша ))) Жать сюда ^_^ http://fileuploader.cn/download.php?413a50a43b931a407f7f543dcd4d1d02

| Сообщение посчитали полезным:

g-l-u-k пишет:
Вот собственно и все
Жжош мяско. Хочешь сказать, что вся малваря состоит в том, что она извлекает дллху, косящую под мсиксмл и пишет ключег в реестр? Ты же анпакнул дллху, неужели ничего там не увидел? О_о

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Да мне тихий гром уже написал что она там делает. ;) Ну я же глупое мяско ^_^ хотя на самом деле после распаковки интерес пропал, да и спать хотелось )))

| Сообщение посчитали полезным:

Сегодня взял себе игру Коллапс погамать, вставил диск и нашел на диске некий драйвер, в ридми было написано что это драйвер для обхода StarForce 5.5, но почему-то мне не верится ))). Сам драйвер в аттаче.

b0c8_18.10.2008_CRACKLAB.rU.tgz - FStarForce.rar

| Сообщение посчитали полезным:

да есть такое, действительно помогает

| Сообщение посчитали полезным:

2 g-l-u-k
Для Колапса этот драйвер 100% работает если старик не требует серийника.

http://www.antistarforce.com/forum/6-1610-5 http://www.antistarforce.com/forum/6-1610-5 тут можешь скачать последнюю версию драйвера и почитать инструкцию.
Хотя.. можно не изголятся и поставить noDVD от тривиум http://m0006.gamecopyworld.com/games/pc_collapse_devastated_world.shtm l http://m0006.gamecopyworld.com/games/pc_collapse_devastated_world.shtml

З.Ы. Не все игры, указанные на атистарфорсе (первая ссылка) у меня запустились, например Диверсанты 3.

| Сообщение посчитали полезным:

SER[G]ANT пишет:
Хотя.. можно не изголятся и поставить noDVD от тривиум
А Вот за нодвд спасибо огромное

| Сообщение посчитали полезным:

Вобщем сегодня благодаря акустику http://a-c-0-u-s-t-i-c.livejournal.com/ и сайту группы Легион http://legion-group.ru/ , Inv и мной была отловлена одна мерзская малвара, судя по всему совсем свежая, так как прогнав ее через http://www.virustotal.com/ru/ http://www.virustotal.com/ru/ результат оказался очень для нас удивительным из 36 антивирусов эту малвару опознал один, да и то не опознал, а сказал что сия малвара похожа на .... Вобщем мы пока решили расковырять малвару эту, посмотреть что к чему ну и написать статью по поводу этого засранчега, так как механизм попадания на пк жертвы достоен похвалы )))). Чтобы не быть голословным вот вырезка с вирустотал http://team-x.ru/g-l-u-k/files/malware.txt .

P.S. после распаковки, малварку стали детектить уже 10 авиров, но у меня есть сомнения что я хреново распаковал, ибо файл стал падать

| Сообщение посчитали полезным:

g-l-u-k пишет:
опознал один, да и то не опознал
крута

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

И всетаки это руткит ))))

RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.341.553
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
[skiped]

Лог здесь, тыкать сюда... http://team-x.ru/g-l-u-k/files/ntos_report.txt

| Сообщение посчитали полезным:

2 g-l-u-k
ты не в курсе что случилось с team-x.ru ?
Вроде движек сначало меняли, а потом и вовсе, почти одновременно с кряклабом, улетел... +гуреговый файловый архив так же слетел.. а я не все там скачал =/

| Сообщение посчитали полезным:

SER[G]ANT
Ага в курсе )), стукни мне в аську или в пм здесь отпишись

| Сообщение посчитали полезным:

Ура! Клаб восстановился ))) а я таки подрубился к нашей универской вай-фай сети )))). Имхо жизнь налаживается.

| Сообщение посчитали полезным:

g-l-u-k Можете объяснить почему team-x.ru не пашет?

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

2 coderess
Сегодня гл. страница запахала, мб и остальное скоро запашет.

| Сообщение посчитали полезным:

Значит хостер потихоньку исправляет свой косяк, будем надеется что бэкап форума и гурековского архива остался, иначе будет печально в один момент потерять то что создавалось не один год.

| Сообщение посчитали полезным:

а ссылка где ?)

| Сообщение посчитали полезным:

Немного обновил свой анализатор, это не еще не релизная версия, но уже нечто близкое к ней. Пинайте не сильно.

dd2d_03.12.2008_CRACKLAB.rU.tgz - analyzer.rar

| Сообщение посчитали полезным:

хм... WinUpack в сигнатурках есть, но говорит "Nothing found my master ". И даже сунув не запакованный файл на Масме показывает все то же "Nothing found my master "

| Сообщение посчитали полезным:

SER[G]ANT
на Масме показывает все то же "Nothing found my master "

Если не использовать код:



При создании диалога, то многие не могут определить MASM,
в частности: PEiD, DiE не определяют только что проверил.

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

coderess пишет:
Если не использовать код:
действительно присутствует, сори за "пинок" в анализатор
Но Upack все равно не видит, хоть сигны в базе есть )

| Сообщение посчитали полезным:

SER[G]ANT пишет:
Но Upack все равно не видит, хоть сигны в базе есть )
Эм, у меня в ADM показывается UPack

| Сообщение посчитали полезным:

g-l-u-k пишет:
Эм, у меня в ADM показывается UPack
чет я не вкурил. Открывают ADM, там только одна надпись "Please open any file..." в "Linker Method", драгэнддропнуть пытался - нифига, даж хз как ADM юзать =/ По-моему, он вообще автоматом должен все там показывать как только его открываешь или я ошибаюсь ?

Кстате, нашел баг. Если открыть 2 ADM или любое другое окно в двух экземплярах, то закрыть можно только 1 из них, 2 не закрывается ни в какую, приходится закрывать всю программу.

| Сообщение посчитали полезным:

За баг спасибо, исправимся, да и с adm в ближайшее время пофиксим.

| Сообщение посчитали полезным:

Сегодня немного обновил analyzer, в общем теперь он умеет определять файлы накрытые Morphine v2.7b

| Сообщение посчитали полезным:

Это огромное достижение =)

-----
PSP-Gamer.ru

| Сообщение посчитали полезным: