Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.





Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 22 сентября 2016 14:01
· Личное сообщение · #2

DimitarSerg пишет:
Затем расшифровывает скаченное и запускает

это с темпа как раз продукт расшифровки?
Что оно делает не смотрел? Его настойчиво пихали по майлу долгое время на приватные адреса фирмы, которые знают только клиенты, возможно целевая атака... интересно что именно хотели увести)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh




Ранг: 3.9 (гость)
Активность: 0.010
Статус: Участник

Создано: 23 октября 2016 19:19 · Поправил: lenovo
· Личное сообщение · #3

1. Непойму чё творит сей зловред и как разобраться.
2. создаёт копии файлов подключает левые процессы но что дальше он с ними делает не пойму.
3. d24f_23.10.2016_EXELAB.rU.tgz - new folder.zip
4. файлик покрыт mew и возможно морфином.хз как его изучать дальше .



Ранг: 92.1 (постоянный), 83thx
Активность: 0.110
Статус: Участник

Создано: 23 октября 2016 19:46
· Личное сообщение · #4

lenovo, https://malwr.com/analysis/ODQ1NjQwZjcwYmFkNDgxOWEwYzI3MDM3ZTBlZmNjNDU/

Под разными именами но с одним хешем он часто попадался.

https://malwr.com/submission/choose/.eJwVzMEOwiAMgOF34WwMFEapdx-ElTYu2ZDMaWKM7249_t_h_7jHre7S3MXduzv9C6Zshb5RmTFmjhCyzwGlCCAw6DQDB88IWEgleWPhkJWSavUUKXFDe_W6iZ2u2zje57Go0diXVz1M-3Ndvz-FriRI:1byLzT:MZJH5YhSb_11NdM9fpgLkkChy9o/




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 25 октября 2016 10:34
· Личное сообщение · #5

Раньше был годный онлайн анализер - Anubis. Потом зачем то его закрыли, именно там за минуты такие семплы и тестились. Именно автоматика даёт начальную инфу, на основе которой можно понять что делает семпл и главное интересен ли он, нужно ли выполнять разбор вручную.

-----
vx




Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

Создано: 26 октября 2016 10:38
· Личное сообщение · #6

Есть подобные сервисы. hybrid-analysis, malwr




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 17 декабря 2016 20:18
· Личное сообщение · #7

Ребята, может сталкивался кто, есть такой активатор софта KMSAuto Net, он при установке пытается в винду поставить OpenVPN, нахрена он ему есть логичные объяснения? Или это не только мне кажется подозрительным?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh





Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 17 декабря 2016 20:52
· Личное сообщение · #8

Isaev пишет:
Ребята, может сталкивался кто, есть такой активатор софта KMSAuto Net, он при установке пытается в винду поставить OpenVPN, нахрена он ему есть логичные объяснения? Или это не только мне кажется подозрительным?


TAP driver ?! Из опен впн? Там написано, что это один из методов активации ... --> TAP <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


| Сообщение посчитали полезным: Isaev


Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

Создано: 18 декабря 2016 01:09
· Личное сообщение · #9

немного офтоп// интересно много вирей вылавливаете (подхватываете) за год?
какие сейчас вири в моде?
сам недавно искал прошивки на китайские телефоны попал на дарккомету правда она глючная и не сработала под санбокс там куча проверок вот и решил спросить всякие пинчи трояны еще в моде или уже что то интересное вышло?
раньше помню вири любили портить exeшники ну ось ложить или забивать всё пространство диска хламом) это было весело а сейчас если чё и хватаю то оно лезит в нет и этим себя выдаёт (заодно вопрос придумали уже малваре которые фиксят счётчик принятых и переданных байт под виндой а то качаем к примеру (кейген ключей стима ))) и о чудо счётчик пошёл качать чего то из сети на чём мы его и ловим даже без ав)




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 18 декабря 2016 04:31
· Личное сообщение · #10

Хоть вопрос не ко мне, но так в теме - отвечу (по собственному опыту, статистика ~полугодовой давности, вряд ли что изменилось):
script_kidis пишет:
какие сейчас вири в моде?

Адварь, криптолокеры (очень много рассылок js-обфусцированных, которые тянут зашифрованный бинарь, раскриптовывают, выполняют). Потом трояны разного рода (стилеры в т.ч, всякие RAT'ы).

-----
ds


| Сообщение посчитали полезным: script_kidis


Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 18 декабря 2016 06:15
· Личное сообщение · #11

доброго времени суток!
друг захотел поиграть и скачал себе "директ икс". файл подписан ooo narzan. при запуске появляется окно распаковки инсталлятора setup.exe (директ икс). присутствует галосчка для установки браузера амиго. если снять галочку, то он всё равно ставится. так же ставится захар гейм браузер, куча всякого говна от мэйл.ру типа домашней страницы, поиска и т.д.
большая часть этого дерьмица удаляется достаточно легко, в реестре большую часть тоже легко отыскать. в итоге вроде всё в порядке, но постоянно пытается открыться браузер и перейти на страницу (саму страницу не грузил, нахер).

файлик тут: hXXp://rgho.st/87VtxWvHs

сейчас уже определяется антивирусами и 99% мусора удаляется, но остаётся проблема с потоянными попытками открыть файл типа http - щемится по редиректам.

-----
Do Not Get Mad Get Money! ;)




Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 29 декабря 2016 16:08 · Поправил: Medsft
· Личное сообщение · #12

Кому интересно отловил лоадер написанный на нете. Скрывался под именем VCore.exe. В архиве он и то что скрывалось у него в ресурсах.Пароль virus

25f0_29.12.2016_EXELAB.rU.tgz - wewewe1.zip




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 29 декабря 2016 16:40 · Поправил: difexacaw
· Личное сообщение · #13

Medsft

Имеет смысл изучить качественные поделки, что бы получить знания и техники. Но что то на скриптах убогое и унылое не представляет какого либо интереса в принципе.

-----
vx




Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 30 декабря 2016 10:32
· Личное сообщение · #14

Улыбнуло: переписка с касперски.

Им.
Здравствуйте! Отловил лоадер. Пароль virus
В архиве VCore.exe - это оригинал
loader.exe - это то что было у него в ресурсах.(Достал чтоб Вам легче было))))

Ответ
Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.
Антивирус Касперского проверил файлы.
Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
loader.exe - not-a-virus:HEUR:Downloader.MSIL.Temonde.gen
Вредоносные программы не найдены в файлах:
VCore.exe
Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.
Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 30 декабря 2016 10:42
· Личное сообщение · #15

Medsft

Ну так а чего удивляться, каспер тоже факав.

-----
vx


| Сообщение посчитали полезным: Medsft

Ранг: 12.0 (новичок), 17thx
Активность: 0.060
Статус: Участник

Создано: 31 декабря 2016 22:22
· Личное сообщение · #16

difexacaw пишет: Но что то на скриптах убогое и унылое не представляет какого либо интереса в принципе

подобное анализируется автоматикой. если это вызывает затруднения это лишь говорит об уровне исследователя, а малварка даже примитивная может приносить профит, ибо паразитирует на компьютерной безграмотности.

| Сообщение посчитали полезным: HAOSov

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 25 января 2017 07:15 · Поправил: SDK
· Личное сообщение · #17

Пинч шалун представил на трипонацию

18ab_25.01.2017_EXELAB.rU.tgz - svchost.zip

из этой темы https://exelab.ru/f/action=vthread&forum=5&topic=24506




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 14 марта 2017 09:34 · Поправил: -=AkaBOSS=-
· Личное сообщение · #18

скачал видео торрентом, в комплекте шёл установщик каких-то кодеков.
видео не воспроизвелось по причине битого формата, а насчёт "кодек-пака" у меня серьёзные сомнения.
отсутствие цп и описание типа "Microsoft corporation - trusted windows installer" их только усиливают.

у кого песочница есть нормальная - посмотрите пожалуйста, что он там устанавливает (вдруг реально кодеки, а я просто параноик? )

ссылка
пароль 321



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

Создано: 14 марта 2017 12:29
· Личное сообщение · #19

-=AkaBOSS=-
Косит под NSIS, но это не он.
C:\Sandbox\user\noinet\user\all\Microsoft\Performance\TheftProtection\TheftProtection.dll - Win32.botnet.other

| Сообщение посчитали полезным: -=AkaBOSS=-

Ранг: 23.7 (новичок), 11thx
Активность: 0.040.02
Статус: Участник

Создано: 06 июля 2017 16:33 · Поправил: parfetka
· Личное сообщение · #20

попался свеженький, на вирустотале детекты только два дня:
https://www.sendspace.com/file/0hcwsp
pass: virus




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 06 июля 2017 19:39
· Личное сообщение · #21

parfetka

На вт детекты не могут быть по определению два дня.

-----
vx




Ранг: 42.2 (посетитель), 42thx
Активность: 0.040
Статус: Участник

Создано: 12 июля 2017 01:46
· Личное сообщение · #22

Доброго времени суток, друзья.

Есть в руках райд по которому прошелся cry36. Попытки отыскать тело малвари на дисках закончились неудачей.
Но закриптил он конечно все под чистую ....

может кто нить имеет тело этой заразы для анализа , или подскажите где поискать?



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 12 июля 2017 10:13 · Поправил: VOLKOFF
· Личное сообщение · #23

Пишут что в некоторых случаях --> это <-- помогает



Ранг: 42.2 (посетитель), 42thx
Активность: 0.040
Статус: Участник

Создано: 12 июля 2017 13:40
· Личное сообщение · #24

VOLKOFF пишет:
Пишут что в некоторых случаях --> это <-- помогает


Да , помогает в случаях с модификациями cry9 cry128....
В моем же случае не помогло



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 12 июля 2017 13:58
· Личное сообщение · #25

Других тулз для 36 вроде пока не подвезли...
По начальным изысканиям он запилен на основе девятки и шифрует только первые 10кб файла + добавляет данные в его конец.



Ранг: 42.2 (посетитель), 42thx
Активность: 0.040
Статус: Участник

Создано: 12 июля 2017 14:03
· Личное сообщение · #26

VOLKOFF пишет:
Других тулз для 36 вроде пока не подвезли...
По начальным изысканиям он запилен на основе девятки и шифрует только первые 10кб файла + добавляет данные в его конец.


Закрипчено начало размером в 0х6400 байт.
А изыскания на основании чего ? есть тельце малвари ?



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 12 июля 2017 14:56
· Личное сообщение · #27

Детектор действительно определяет ваш шифровальщик как cry36 ?
Базовая инфа
Пост с подтвержденной информацией про 10кб
Сэмплы есть на онлайн анализаторах, но для скачивания нужен дев аккаунт.



Ранг: 42.2 (посетитель), 42thx
Активность: 0.040
Статус: Участник

Создано: 12 июля 2017 19:54 · Поправил: kid
· Личное сообщение · #28

VOLKOFF пишет:
Детектор действительно определяет ваш шифровальщик как cry36 ?
Базовая инфа
Пост с подтвержденной информацией про 10кб
Сэмплы есть на онлайн анализаторах, но для скачивания нужен дев аккаунт.


детектор говорит что cry36
черт его знает , новая что ли модификация .....
вот сравнение


получил в руки сего зловреда (пасс 12345):
http://dropmefiles.com/z0HgD

но что то тяжело ..... не имея опыта в этой области ....
Я так понимаю использование ранее инициализированых структур ( таких как например DateTime итд) для хранения уже каких то своих переменных - это способ спрятаться от эвристики?



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 января 2018 10:42
· Личное сообщение · #29

Всем привет! Кто-нибудь может помочь со зловредом http://dropmefiles.com/GE3cw ?




Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

Создано: 28 января 2018 21:02 · Поправил: gazlan
· Личное сообщение · #30

catmall
CC report: AES (Big Endian)

3211_28.01.2018_EXELAB.rU.tgz - vir.cc.7z

| Сообщение посчитали полезным: catmall

Ранг: 11.5 (новичок)
Активность: 0.01=0.01
Статус: Участник

Создано: 29 января 2018 06:57 · Поправил: DeeDee
· Личное сообщение · #31

привет!
можете глянуть, что за троян к файлу прилип. на три кб..
https://cloud.mail.ru/public/2CfH/T6BymALnf

сравнение с оригинальным файлом -
00000148: 9E 8B
00000149: 4F 0C
00000188: 30 28
00000189: 5E 53
0016BEAC: F4 F3
0016BF14: E5 EA
0016BF15: 41 E9
0016BF16: FE DE
.... и так далее

Спасибо!


<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати