Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

 Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

 Создано: 21 августа 2015 14:38 · Поправил: hash87szf
· Личное сообщение · #2

Гугл пишет что это Cryakl вариант, а значит не расшифровывается, RSA. Также по гуглу видно что вирь шифрует первые 256 байт и 3 разных рандомных мест. Видел что некоторые анивирусники предлагают сервис частичного recovery.
Не, больше чем 256 байт.


edit

Или это для технической разборки вопрос?

| Сообщение посчитали полезным: tomac

Ранг: 3.1 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 21 августа 2015 15:39
· Личное сообщение · #3

Хрень какая-то, на файле, вот дамп
https://www.dropbox.com/s/d7u1rreedttu81w/vir.vir?dl=1

брякаться тут:
Code:
  1. 0012FBB8   001E605B  /CALL to WriteProcessMemory from 001E6058
  2. 0012FBBC   00000058  |hProcess = 00000058 (window)
  3. 0012FBC0   00400000  |Address = 0x400000
  4. 0012FBC4   009A0000  |Buffer = 009A0000
  5. 0012FBC8   0006F000  |BytesToWrite = 6F000 (454656.)
  6. 0012FBCC   0012FD28  \pBytesWritten = 0012FD28


Добавлено спустя 5 минут
5241464518960600877306534028863:65537

rsa 103 бита что ли

| Сообщение посчитали полезным: tomac

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 21 августа 2015 23:15 · Поправил: GMax
· Личное сообщение · #4

распакованный
http://rghost.ru/6PQ5N7Fn5 pass:malware

FGint
00418090 RsaEncrypt

RSA-200

30012964842490405944471156054875209628891544277568843431475005697
04805045388439713898973732462165333633255192384265794644024498152
40900782524135715711444438590847959762246341183676866194219812310
91893

28148771776242017814590047442125862052387817790012598509223382538
19730369484541888803260569897083660252881074527964375230492311842
27446637146447119394387466504106415321672302683249855291332823300
25555

42294109687027496393976428154543767843567261477868931418148312173
91920465768470427124431844848826833863215968374065366595610427951
00409417138147912035062760994362175179416014782484397242217924318
87389

| Сообщение посчитали полезным: tomac

Ранг: 3.1 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 21 августа 2015 23:22
· Личное сообщение · #5

GMax
и где тут N ?



Ранг: 65.3 (постоянный), 10thx
Активность: 0.020
Статус: Участник

 Создано: 24 августа 2015 18:03
· Личное сообщение · #6

Спасибо помогшим!
tempds, N открытым текстом в файле, причём их три разных.
GMax, RSA-768, похоже, там строка N из двух собирается.

Удивляет меня, зачем делать RSA-768. Поиздеваться над анализирующим? Типа, очень близко к тому, что можно сломать, но всё равно нифига не сломаешь?

В общем, всё понятно с этой малварью, спасибо ещё раз!




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

 Создано: 30 сентября 2015 14:19 · Поправил: Isaev
· Личное сообщение · #7

помогите деобфусцировать матрёшку
php не очень знаю, на последнем этапе не могу обойти
там раз 5 через eval. А если напишите, что эта хрень в итоге делает, буду благодарен вдвойне
возможно вредоносный код.

d616_30.09.2015_EXELAB.rU.tgz - index.php

Добавлено спустя 2 часа 13 минут
Хотя я уже нашёл эту бяку, всем спасибо

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 04 ноября 2015 14:38
· Личное сообщение · #8

Поймал засранчика, гифрует файлы, вроде бы как RSA. Инжектится в explorer.exe и svhost, ну а последний уже шифрует файлы виндовыми API. Может кто на досуге сможет выдрать само тело виря, которое в svhost для статического анализа ;) Интересно посмотреть какие именно файлы он шифрует..

Добавлено спустя 3 минуты
Вот еще репорт песочныцы и вызовов API с программкой для удобного просмотра LOG_API.TXT.



От модератора: Не вставляем большие картинки! Блин, ссылка побилась, поправь

60a9_04.11.2015_EXELAB.rU.tgz - Reports.rar

Добавлено спустя 1 час 45 минут
сам зловред.

83ca_04.11.2015_EXELAB.rU.tgz - d4b8e24d.zip

-----
-=истина где-то рядом=-

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 05 ноября 2015 00:15
· Личное сообщение · #9

Анализ
https://malwr.com/analysis/ZjQ3ZmIyNDI2NjJkNGQ4ODhlN2ExYmMzOWU0Mzk0ZmY/

Описание
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32%2fCrowti#tab=2

Dump кривой, но понять как работает можно
pw: malware

9ddc_05.11.2015_EXELAB.rU.tgz - 123.rar




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 05 ноября 2015 11:12
· Личное сообщение · #10

GMax пишет:
Dump кривой, но понять как работает можно
pw: malware


о, дамп отличный, чем делал?

Как то в винде можно посмотреть все не закрытые мьютексы?

-----
-=истина где-то рядом=-


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 05 ноября 2015 11:14
· Личное сообщение · #11

Сделай в Process Explorer/Process Hacker поиск по хендлам, будут и мутексы.

| Сообщение посчитали полезным: KingSise


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 05 ноября 2015 12:04
· Личное сообщение · #12

KingSise пишет:
о, дамп отличный, чем делал?
Олькой, регион памяти, бряки на

CreateRemoteThread
NtCreateSection
NtMapViewOfSection

-----
ds

| Сообщение посчитали полезным: KingSise


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 23 декабря 2015 16:15
· Личное сообщение · #13

Мне говно какое-то дали, которое прописалось а автозагрузку и висело в процессах, что это - не знаю, код глянуть тоже не могу, оно на дотнете под реактором. Обнаружил по сетевой активности.
Просьба снять реактор, интересует что это.

Файлы почти идентичны, один дроппер, второй - то что в темп дроппается и запускается.
https://www.sendspace.com/file/8knrjt

-----
ds

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 30 декабря 2015 21:29 · Поправил: GMax
· Личное сообщение · #14

DimitarSerg пишет:
Просьба снять реактор
http://rghost.ru/8ghQZhFjG
pw: malware




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 14 января 2016 02:25
· Личное сообщение · #15

Решил не создавать отдельный топик для решения своей проблемы. Трабл связан с малварью, но самой малвари нет. Остались только последствия её пребывания в системе. А именно - перестала работать windows update.

Код ошибки 80070002

Пробовал фиксы:
--> WindowsUpdateDiagnostic <--
--> MicrosoftEasyFix20179.mini <--
--> KB947821 <--

Кто сталкивался, знает, как быть?

-----
Stuck to the plan, always think that we would stand up, never ran.


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 14 января 2016 02:47 · Поправил: reversecode
· Личное сообщение · #16

наиболее распространненая проблема и ее никакие фикситы не фиксят
это повреждения папки виндовс апдейт
погугли windows update 80070002
вот первое из гугла
http://windowstips.ru/notes/14134
http://www.sevenforums.com/windows-updates-activation/310222-windows-7-update-error-80070002-story-fix.html
у меня без мелвари такая трабла была. но как я ее пофиксил уже не помню
вообще на специфические виндовс ухищрения лучше ходить спрашивать на руборд в раздел винды
там есть знающие люди




Ранг: 307.9 (мудрец), 196thx
Активность: 0.180
Статус: Участник

 Создано: 14 января 2016 02:49 · Поправил: mysterio
· Личное сообщение · #17

ARCHANGEL
Чекни дату на компе - наверняка после вирусни в космос смотрит. И затем - это или, кажись, тоже самое но на русском.
Так же проверь: HKLMachine\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade
должен быть (создай) параметр "AllowOSUpgrade"=dword:00000001, может даже то что по ссылкам делать не нужно будет

upd: Как написал reversecode - основная причина: кривая дата на компе и поврежденная папка Windows Update.

-----
Don_t hate the cracker - hate the code.


Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 17 января 2016 15:05
· Личное сообщение · #18

reversecode
mysterio
Перепробовал всё, что советовали. Ничего не помогает.
А есть какие-то отчёты, где бы упоминалось, как малварь такое делает? А то сэмпла-то нет, реверсить нечего. Как теперь понять, как малварь такое сделала?

-----
Stuck to the plan, always think that we would stand up, never ran.


Ранг: 275.9 (наставник), 340thx
Активность: 0.22=0.22
Статус: Участник
RBC

 Создано: 17 января 2016 15:36
· Личное сообщение · #19

ARCHANGEL пишет:
А то сэмпла-то нет, реверсить нечего. Как теперь понять, как малварь такое сделала?
Никак. У тебя же врядли стоял соответствующий софт.
Не связано с малварью, но если у меня в системе (Win7) что-то отваливалось, то помогает из под винды переустановка ее с выбором "Обновление", в этом случае винда сама вернет собственные настройки на умолчания и восстановит все поврежденные системные файлы, а установленные файлы остануться на месте.

-----
Array[Login..Logout] of Life


Ранг: 307.9 (мудрец), 196thx
Активность: 0.180
Статус: Участник

 Создано: 17 января 2016 15:49 · Поправил: mysterio
· Личное сообщение · #20

ARCHANGEL
Cпособ для XP, тоже самое должно работать и для W7:
Code:
  1. @rem 1. Остановить сервис автоматического обновления:
  2. net stop wuauserv
  3. @rem 2. Перейти в каталог Windows и удалить (можно переименовать на всякий пожарный, а на его место если потребуется создать такой же пустой) каталог загрузки:
  4. cd %windir%
  5. ren SoftwareDistribution SDTemp
  6. @rem 3. Запустить сервис автоматического обновления:
  7. net start wuauserv
  8. @rem 4. Сбросить авторизацию и запросить свежие обновления:
  9. wuauclt /resetauthorization
  10. wuauclt /detectnow


upd:
>> Ничего. Не работает как и не работало.
>> Говорит, что "произошла неисправимая ошибка при установке Windows Update"

Глянь в журнале на что ругается. Побредим: может в hosts какая ерунда прописалась, админ права ?

-----
Don_t hate the cracker - hate the code.


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 17 января 2016 15:49
· Личное сообщение · #21

--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.


Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 17 января 2016 16:16
· Личное сообщение · #22

mysterio
Ничего. Не работает как и не работало.

ClockMan
Говорит, что "произошла неисправимая ошибка при установке Windows Update"

-----
Stuck to the plan, always think that we would stand up, never ran.

Ранг: 47.6 (посетитель), 15thx
Активность: 0.030.02
Статус: Участник

 Создано: 17 января 2016 20:57
· Личное сообщение · #23

ARCHANGEL
удали дрова на донглы -аля хасп и или яву переустанови
посмотри что устанавливалось обновлялось когда упало обновление




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 18 января 2016 00:42
· Личное сообщение · #24

Продолжаю работу по восстановлению апдейтов. Нагуглил, что есть такой лог файл, лежит в %windir%/WindowsUpdate.log. Просматривая его, нашёл запись о том, что не удаётся поставить вот этот package:
Code:
  1. FATAL: Applicability evaluation for setup package "WUClient-SelfUpdate-ActiveX~31bf3856ad364e35~x86~~7.6.7600.320" failed, error = 0x80070002

Начал гуглить по названию, нашёл то, о чём говорил ClockMan - некий WindowsUpdateAgent-7.6. Разархивировал его, т.к. просто из коробки он не ставился. Внутри 3 исполняемых файла.
MergedWuSetup.exe запускает WUA-Win7SP1.exe. Решил смотреть второй. Он распаковывается, создавая папку с файлами, и оттуда запускает wusetup.exe. Начал смотреть этот ехе. Не буду создавать интригу, и напишу, что код:
Code:
  1. .text:013D1709 push    eax             ; ppv
  2. .text:013D170A push    offset riid     ; riid
  3. .text:013D170F xor     edi, edi
  4. .text:013D1711 push    4               ; dwClsContext
  5. .text:013D1713 push    edi             ; pUnkOuter
  6. .text:013D1714 push    offset rclsid   ; rclsid
  7. .text:013D1719 mov     esi, ecx
  8. .text:013D171B mov     [ebp+ppv], edi
  9. .text:013D171E mov     [ebp+var_8], edi
  10. .text:013D1721 call    ds:CoCreateInstance

возвращает 0x80070002. Продолжаю страдать ...

-----
Stuck to the plan, always think that we would stand up, never ran.


Ранг: 307.9 (мудрец), 196thx
Активность: 0.180
Статус: Участник

 Создано: 18 января 2016 01:23 · Поправил: mysterio
· Личное сообщение · #25

Тогда так: найди точно такую же, рабочую машину с виндой как у тебя, там возьми файл TrustedInstaller.exe, он кажется лежит в %windir%/servicing и замени им свой (нужно будет права назначать и копировать !строго! со своего винта - т.е. не с сети, флешки, перфокарты и т.д.). После замены, по старой схеме, ставить апдейты и т.д. .... понятно что при битой папке WindowsUpdate (SoftwareDistribution) все это может не сработать. Если все прошло успешно права с папки вернуть в обратное состояние.

-----
Don_t hate the cracker - hate the code.

Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 24 апреля 2016 12:08
· Личное сообщение · #26

http://rghost.ru/private/76lyc9NGs/ac545f9028442684d3463e32ec389b92

Здравствуйте, вы не могли бы описать что делает данный файлик и имеет ли он какие либо деструктивные функции?



Ранг: -0.7 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 05 мая 2016 16:36
· Личное сообщение · #27

lsdmax пишет:
http://rghost.ru/private/76lyc9NGs/ac545f9028442684d3463e32ec389b92

Здравствуйте, вы не могли бы описать что делает данный файлик и имеет ли он какие либо деструктивные функции?
DiE-Borland Delphi(2-3)[-]
Strings-"WriteProcessMemory", "ReadProcessMemory", "RegQueryValueExA", но они не вызываются.
Беглый анализ дизасемблированного листинга - Пустое Делфи приложение, возможно обрезанное. Вредного ничего нет.

P.S. Я не изучал файл глубоко и я не вирусный аналитик Касперского, поэтому возможна ошибка.




Ранг: 110.8 (ветеран), 104thx
Активность: 0.090.01
Статус: Участник

 Создано: 05 мая 2016 21:39
· Личное сообщение · #28

Fereter пишет:
Я не изучал файл глубоко и я не вирусный аналитик

Да лажа полная.. Отдаленно напоминает билд лодыря, сделанного "без никто".. Работать это фуфло так вот просто не станет и, соответственно, без полезной нагрузки угрозы не представляет..




Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

 Создано: 17 сентября 2016 09:05
· Личное сообщение · #29

1. Краткое описание задачи:Не пойму почему антивирус называет dll ку малверной
2. -.
3. .
4. протестил каспером кричит Backdoor.Avstral.w


3b56_17.09.2016_EXELAB.rU.tgz - mh.7z




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

 Создано: 17 сентября 2016 13:48 · Поправил: Isaev
· Личное сообщение · #30

pass: Tallinn2016
Ребят, что этот зловред делает? Ковырял ковырял эту матрёшку, так и запутался. Не силён я в js

af6d_17.09.2016_EXELAB.rU.tgz - mail.zip

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 18 сентября 2016 01:08 · Поправил: DimitarSerg
· Личное сообщение · #31

Isaev
Так и я не силен, но здесь херня)

Снимается первый слой, потом чуток отладки в FireFox, в итоге понимаешь что запуск происходит здесь:
Code:
  1.          //Xl3[YNx6](UFn4 + JYp + DAb4 + Ht + BUj + PNv3);

Комментим, потому как
Code:
  1.  var YNx6 = "Run" + "";


И здесь же вставим:
Code:
  1. WScript.Echo("Stop here");

или даже лучше:
Code:
  1. WScript.Echo(UFn4 + JYp + DAb4 + Ht + BUj + PNv3);

так сразу видно с какими параметрами пытается запуститься.

Забираем в темпе дллку:
--> Link <-- (пасс 111)

--> VT <--

Еще по теме:
Пытается скачать свое тело по одному из 5 адресов:
Code:
  1. http://www.westcoastswingitaly.it/s1zxsm
  2. http://cybersocialization.ru/vp3j96d
  3. http://www.galleriacolonna.org/yhcx6y
  4. http://www.arstaelteknik.com/sebbv
  5. http://clubofmalw.ws/1ceplva


Затем расшифровывает скаченное и запускает

-----
ds

| Сообщение посчитали полезным: Isaev
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати