Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Армадилу мне тут помогли снять и восстановить импорт, а дальше я пока только начал ковыряться. Что-то повально пошла мода на шифрование.
И товарищи из антивирусных контор молчат .. хотя к ним уже куча обращений была.

| Сообщение посчитали полезным:

Worldmasters пишет:
И товарищи из антивирусных контор молчат .. хотя к ним уже куча обращений была.

И что вам должны были ответить товарищи из антивирусных контор, собирайте ботнет?
Вам же уже ответили, что там рса и дали ссылку на вики.

| Сообщение посчитали полезным:

Worldmasters пишет:
Армадилу мне тут помогли снять и восстановить импорт, а дальше я пока только начал ковыряться. Что-то повально пошла мода на шифрование.
И товарищи из антивирусных контор молчат .. хотя к ним уже куча обращений была.
И как они тебе необратимый алгоритм расшифруют, терморектально ?
На какере был треп, как чел как раз своим вирем пошифровал тонну школьного говна, так сотрудники того же кашпировского тогда говном исходили, что они юзеру помочь не могут.Рыскали по вирю, искали контактные данные и надеялись посадить вирмейкера.
AD0 пишет:
В комплекте стилер UFR с именем update_ccc.exe
Теперь ясно, что это проделки вагинеза, автора UFR
http://forum.xakep.ru/m_2147044/tm.htm

Вот, кому интересно, его говноблог с говеными поделками https://vazonez.com/category/lib

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

AD0 пишет:
Снять блокировку то снял, а вот расшифровать теперь хз

ps в идеале чекнуть полную процедуру лечения, мало ли он с буткитом*

К сожалению и не расшифруете

Буткита я не заметил, дроппает стилер (именно UFR3, который пытается своровать что ему задано, отчёт в bin-файле на рабочем столе в скрытой папке ufr_reports) и зашифровщик (криптор), о котором уже писалось на предыдущих страницах, всё один в один (криптование файлов RSA-797бит), публичный ключ отличается от того, что был на пред.страницах, видимо клепают кому не лень такую дрянь (точнее я думаю билдер готовый есть для "школьников"), оба файла под Armadillo 9.60, UFR-стилер еще каким-то простеньким криптором еще закрыт (если надо - могу файлы распакованные/расшифрованный залить, но смысла ноль).

Одним словом - помочь, к сожалению, ни здесь да и наверное нигде на сегодняшний день не смогут

-----
ds

| Сообщение посчитали полезным:

От модератора: дальше общаемся строго по теме

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Привет, помомгите разобраться с вирусом.
Ида про на этой строке [ebp+410961h], ebx зависает и отладчик дальше не идет.
http://tempfile.ru/file/3064444
Подскажите что я не так делаю.
И подскажите как найти оригинальную точку входа.

| Сообщение посчитали полезным:

Fenikz пишет:
Привет, помомгите разобраться с вирусом.
Ида про на этой строке [ebp+410961h], ebx зависает и отладчик дальше не идет.
http://tempfile.ru/file/3064444
Подскажите что я не так делаю.
И подскажите как найти оригинальную точку входа.
Он с нее и грузится.Консольное приложение.Внутри ничего интересного и, судя по строкам, меняет пикчу в Control Panel\Desktop - SLAM.BMP.Внутри себя открывает (или патчит) эксе файлы.
Отсылка к шмаре, которая рипнулась по ходу (ради нее чтоли все пляски ?) : Aparna S.: Forever in love with you...
Школьный привет, о том, какой он крутой пасан:Win32.Maya (c) 1998 The Shaitan [SLAM] .
AYAM - чисто внутренняя функа, что она делает не разбирался.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Fenikz пишет: И подскажите как найти оригинальную точку входа.

Это недоразумение валяется в исходниках на просторах интернета.
Картинка сломавшая мир:


| Сообщение посчитали полезным:

Fenikz пишет:
Привет, помомгите разобраться с вирусом.
Ида про на этой строке [ebp+410961h], ebx зависает и отладчик дальше не идет.
http://tempfile.ru/file/3064444
Подскажите что я не так делаю.
И подскажите как найти оригинальную точку входа.
Такого долбоебизма я ещё невидал

Получение ModuleBase просто вызывает смех


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

cockman, я же спросил почему вирус на строке [ebp+410961h] выкидывает эксепшн, мне не интересно что у тебя вызывает смех

| Сообщение посчитали полезным:

Fenikz пишет:
просил почему вирус на строке [ebp+410961h] выкидывает эксепшн

нет прав на запись в секцию кода

Fenikz пишет:
Подскажите что я не так делаю.

исходник

такую древность заставить работать непросто

Примерная инструкция:
установить секции кода разрешение на запись
пропатчить в коде SectiomAlignment 41000F MOV EAX,1000 на 41000F MOV EAX,10000
добавить таблицу импорта и функцию GetModulaHandleA

Или взять
29a-4.zip\Binaries\Peon\Win32.Maya\Win32.Maya.EXE и запустить на Win9x

| Сообщение посчитали полезным:

GMaxвот на счет нет прав я понял, я не понял почему нет прав у вируса который должен работать . Спасибо за первый нормальный ответ

| Сообщение посчитали полезным:

GMax пишет:
Или взять
29a-4.zip\Binaries\Peon\Win32.Maya\Win32.Maya.EXE и запустить на Win9x
Если речь о содержимом архива, взятого с http://www.awarenetwork.org/home/outlaw/ezines/29A/29a-4.zip, то несовпадение по размеру уже как минимум (2кб!=8), так что это либо старый билд, либо модифицирован был опубликованный ранее в теме.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Если речь о содержимом архива, взятого с http://www.awarenetwork.org/home/outlaw/ezines/29A/29a-4.zip, то несовпадение по размеру уже как минимум (2кб!=8), так что это либо старый билд, либо модифицирован был опубликованный ранее в теме.

я брал здесь http://www.flavioweb.it/ezines/29a-4.zip

у Fenikz похоже криво собранный под win32 с выравниванием секций на 10000h

| Сообщение посчитали полезным:

GMax

> исходник

Пример того, как не нужно писать код. Думаю чтобы малвару кодить, нужно хорошо понимать основы, почему дельта зло етц.

| Сообщение посчитали полезным:

Добрый день. Нужна помощь.
Есть плагин стороннего разработчика к игре, распространяемый некоторыми сайтами внутри дистрибутива (репака).

Поведение - возможно spyware, отправляет на сервер этого стороннего разработчика какую-то инфу.
Отправка идет через sendto на удаленный хост, в ответ ничего не должно приходить (recv* в импорте нет). Больше ничего вредоносного нет, по таблице импорта, по песочнице и по визуальному обзору кода в IDE.
Я так понял, что при наступлении определенного события в коммуникации между клиентом и сервером игры информация об этом событии сразу уходит куда надо.

Буфер данных маленький, 40-70 байт в пакете. Длины пакетов меняются слабо, при повторном подключении к одному и тому же игровому серверу пакеты те же самые.

Интересует какой алгоритм шифрования используется перед отправкой и структура буфера данных, чтобы по исходящим пакетам узнать что внутри. Есть предположение что там timestamp, ip сервера и команда, которую надо слить. timestamp может и не быть, его сервер по времени получения может проставлять.
В IDA нашел вызов sendto, 2й параметр это буфер данных, далее он хитро формируется, вызовы функций из функций и в конце концов запутался. Уверен что там что-то простое (никаких AES, Twofish и т.д., сжатие также врядли), но это сильно сложно для моих познаний. Попытка повлиять на входящие данные и определить какие поля в структуре данных чему соответствуют привела к облому. Запустив свой сервер игры на разных портах (соседние числа) обнаружил что на единицу меняются 25й байт (при этом они далеко не соответствуют последнему байту заданного порта, т.е. там + цезарь или xor), если взять другой интервал - 21й, в третьем интервале меняется 19й байт. Но не может 8 байт (с 19 по 25й) быть отведено под двухбайтный номер UDP порта. Там видимо, перемешивание байт перед отправкой по хитрому алгоритму.

Файл залил сюда. упаковщика нет, Delphi.
Буду благодарен за любую помощь.

| Сообщение посчитали полезным:

Hellrider, судя по всему это чит для Counter-Strike

| Сообщение посчитали полезным: Hellrider

Jim DiGriz
Ну не чит, а античит, да и какая х** разница ?

Hellrider
Это ж походу CSXGuard ?
вот --> он в сорках <--. Посмотри, может поможет.

-----
ds

| Сообщение посчитали полезным: Hellrider

Просьба распаковать тело трояна.--> Link <-- пас - "virus"
Упакован Armadillo. Не смог победить антиотладку.
Армагеддон не распаковывает, тоже палится как отладчик.

Троян - шифратор с RSA, как и на предыдущей странице топика. Эта модификация некоторые типы файлов шифрует частично, иногда эти участки не критичны для доступа к данным.
распакованное тело нужно для определения алгоритма выборки шифрованных участков.

ClockMan
Спасибо, выручил.

| Сообщение посчитали полезным:

SGA
--> лови <-- написан на бейсике

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: SGA

Jim DiGriz, DimitarSerg да, спасибо, это похоже на него. 100% брали исходники CSX и что-то на их основе крутили для слива инфы с компа игрока налево. В оригинальном CSX нет работы с сетью.
Все же что там с шифрованием?

| Сообщение посчитали полезным:

Здравствуйте
нашел вот такое на компе cureit - http://rghost.ru/57440184
Из симптомов - тупил инет, хочется знать что творит данная особь. Пароль - virus

| Сообщение посчитали полезным:

New_user
--> Link <--
Если название файла говорит, что это якобы "Лечащая утилита Dr.Web CureIt!", а сам
New_user пишет:
нашел вот такое на компе cureit - http://rghost.ru/57440184
(и придумал я новое слово - понимабельность, которой в предложении выше мало )

Если доктор говорит

вдобавок к остальным 9ти детектам, то с большой долей вероятности, это какой-то спамер/троянДаунлоадер.

Ничем не накрыт, скомпилен ms-линкером, из всего импорта интересно присутствие таких функций как
Это может означать(но необязательно), что может и от снифера прятаться, т.е. поймать левый трафик только на промежуточном узле можно.

IoBuildDeviceIoControlRequest используется для
TDI_CONNECT (IoCtlCode = 3)
IOCTL_IP_SET_ADDRESS (IoCtlCode = 0x128004)

По IOCTL_IP_SET_ADDRESS есть какая-то информация
--> тут <--, но доступна только премиум-членам. Но по названию и из строчек в поисковиках видно и так, что меняет сетевой адрес карты (ip сетевого интерфейса). Не во всех сетях такое прокатит!

P.S. Интересный троянчик, покопаюсь может как-нибудь потщательней

-----
IZ.RU

| Сообщение посчитали полезным: New_user

DenCoder

Гадюка попалась в папке system32\drivers, ловил через загрузочный диск PE утилитой cureit
там же лежало еще 2 таких же файла с не много другими именами (те два файла не сохранились к сожалению, но размер был одинаковый)
Очень смутило количество детектов и молчание от кашпировского( Хотя дата детекта свежая, можно им отправить на расправу

| Сообщение посчитали полезным:

New_user
драйвер фильтр tcp трафика
может это NetCrawl?
посмотри папку "program files (x86)\netcrawl"

| Сообщение посчитали полезным:

GMax

да было и такое - то есть это полуоициальное ПО ? Кстати каспер соснул слегонца, и ворчал что базы мол не обновлены, где же та Дохтор Головка ? Отведи спаси гочподи от расчетки своей конец)))))

| Сообщение посчитали полезным:

New_user пишет:
Кстати каспер соснул слегонца, и ворчал что базы мол не обновлены
Жжошь.Красава.Вообще для него сие норма, поэтому и нужно проводить ручной анализ всегда.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

1. прошу помочь почистить комп от вируса.
2. Появился вирус, заражает файлы, в том числе .htm (что-то туда дописывается).
В процессах висит IEXPLORE.EXE (два такихх процесса).
когда был браузер Opera, то вместо IEXPLORE в процессах висела опера.
Также заражает флешки: что-то прописывает в autorun.inf,
а в корзине создается .exe и .cpl
3.http://rghost.ru/57687656
4. Антивирус drweb cureit хоть и лечит, но потом опять появляются вирусы, а на процесс IEXPLORE в памяти не обращает внимания.

| Сообщение посчитали полезным:

Mavlyudov пишет:
4. Антивирус drweb cureit хоть и лечит, но потом опять появляются вирусы, а на процесс IEXPLORE в памяти не обращает внимания.
Отключите полностью автозапуск и сделайте по возможности загрузочную флэшку/диск с минилинуксом - http://www.freedrweb.com/livedisk и просканируйте тщательно зараженную систему.

| Сообщение посчитали полезным:

Здравствуйте!
Знакомые словили вирус, который пошифровал все бухгалтерские документы. Файл вируса я раздобыл, это Simple Install Maker'овский установщик (если верить ресурсам). Извлёкся в Program Files\ЗАО РОСТЕЛЕКОМ\Федеральная налоговая служба РФ\doc.exe. Этот doc чем-то накрыт, отковырять прот опыта не хватает.
Можете помочь с расковыриванием прота? Интересно, это тоже RSA/DSA или что-то другое? И еще очень интересно, какой RNG они используют для генерации ключа.
Исходный файл и doc.exe в архиве, пароль virus --> Link <--. Исходно было nalog.scr и doc.exe, но по факту nalog - тоже .exe, специфичных экспортов для screen saver'а не нашёл.

Заранее спасибо! И извините, если такой уже был - определить нетривиально. Плюс, он создан, похоже, 16 августа этого года.

P.S.:
По doc.exe DiE говорит

PEiD говорит, что это yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *

| Сообщение посчитали полезным: