| Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 28 октября 2009 16:21 · Поправил: Модератор · Личное сообщение · #1 Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены. Формат запроса: 1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...." 2. Аномалии при работе с компом, которые заметили. 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). 4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений. ----- My love is very cool girl.  |
|
|
Создано: 22 сентября 2016 14:01 · Личное сообщение · #2 DimitarSerg пишет: Затем расшифровывает скаченное и запускает это с темпа как раз продукт расшифровки? Что оно делает не смотрел?  Его настойчиво пихали по майлу долгое время на приватные адреса фирмы, которые знают только клиенты, возможно целевая атака... интересно что именно хотели увести)
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 23 октября 2016 19:19 · Поправил: lenovo · Личное сообщение · #3 1. Непойму чё творит сей зловред и как разобраться. 2. создаёт копии файлов подключает левые процессы но что дальше он с ними делает не пойму. 3.  d24f_23.10.2016_EXELAB.rU.tgz - new folder.zip4. файлик покрыт mew и возможно морфином.хз как его изучать дальше . |
|
|
Создано: 23 октября 2016 19:46 · Личное сообщение · #4 lenovo, https://malwr.com/analysis/ODQ1NjQwZjcwYmFkNDgxOWEwYzI3MDM3ZTBlZmNjNDU/ Под разными именами но с одним хешем он часто попадался. https://malwr.com/submission/choose/.eJwVzMEOwiAMgOF34WwMFEapdx-ElTYu2ZDMaWKM7249_t_h_7jHre7S3MXduzv9C6Zshb5RmTFmjhCyzwGlCCAw6DQDB88IWEgleWPhkJWSavUUKXFDe_W6iZ2u2zje57Go0diXVz1M-3Ndvz-FriRI:1byLzT:MZJH5YhSb_11NdM9fpgLkkChy9o/ |
|
|
Создано: 25 октября 2016 10:34 · Личное сообщение · #5 Раньше был годный онлайн анализер - Anubis. Потом зачем то его закрыли, именно там за минуты такие семплы и тестились. Именно автоматика даёт начальную инфу, на основе которой можно понять что делает семпл и главное интересен ли он, нужно ли выполнять разбор вручную. ----- vx |
|
|
Создано: 26 октября 2016 10:38 · Личное сообщение · #6 Есть подобные сервисы. hybrid-analysis, malwr |
|
|
Создано: 17 декабря 2016 20:18 · Личное сообщение · #7 Ребята, может сталкивался кто, есть такой активатор софта KMSAuto Net, он при установке пытается в винду поставить OpenVPN, нахрена он ему есть логичные объяснения? Или это не только мне кажется подозрительным? ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 17 декабря 2016 20:52 · Личное сообщение · #8 Isaev пишет: Ребята, может сталкивался кто, есть такой активатор софта KMSAuto Net, он при установке пытается в винду поставить OpenVPN, нахрена он ему есть логичные объяснения? Или это не только мне кажется подозрительным? TAP driver ?! Из опен впн? Там написано, что это один из методов активации ... ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube | Сообщение посчитали полезным: Isaev |
|
|
Создано: 18 декабря 2016 01:09 · Личное сообщение · #9 немного офтоп// интересно много вирей вылавливаете (подхватываете) за год? какие сейчас вири в моде? сам недавно искал прошивки на китайские телефоны попал на дарккомету правда она глючная и не сработала под санбокс там куча проверок вот и решил спросить всякие пинчи трояны еще в моде или уже что то интересное вышло? раньше помню вири любили портить exeшники ну ось ложить или забивать всё пространство диска хламом) это было весело а сейчас если чё и хватаю то оно лезит в нет и этим себя выдаёт (заодно вопрос придумали уже малваре которые фиксят счётчик принятых и переданных байт под виндой а то качаем к примеру (кейген ключей стима ))) и о чудо счётчик пошёл качать чего то из сети на чём мы его и ловим даже без ав) |
|
|
Создано: 18 декабря 2016 04:31 · Личное сообщение · #10 Хоть вопрос не ко мне, но так в теме - отвечу (по собственному опыту, статистика ~полугодовой давности, вряд ли что изменилось): script_kidis пишет: какие сейчас вири в моде? Адварь, криптолокеры (очень много рассылок js-обфусцированных, которые тянут зашифрованный бинарь, раскриптовывают, выполняют). Потом трояны разного рода (стилеры в т.ч, всякие RAT'ы). ----- ds | Сообщение посчитали полезным: script_kidis |
|
|
Создано: 18 декабря 2016 06:15 · Личное сообщение · #11 доброго времени суток! друг захотел поиграть и скачал себе "директ икс". файл подписан ooo narzan. при запуске появляется окно распаковки инсталлятора setup.exe (директ икс). присутствует галосчка для установки браузера амиго. если снять галочку, то он всё равно ставится. так же ставится захар гейм браузер, куча всякого говна от мэйл.ру типа домашней страницы, поиска и т.д. большая часть этого дерьмица удаляется достаточно легко, в реестре большую часть тоже легко отыскать. в итоге вроде всё в порядке, но постоянно пытается открыться браузер и перейти на страницу (саму страницу не грузил, нахер). файлик тут: hXXp://rgho.st/87VtxWvHs сейчас уже определяется антивирусами и 99% мусора удаляется, но остаётся проблема с потоянными попытками открыть файл типа http - щемится по редиректам. ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 29 декабря 2016 16:08 · Поправил: Medsft · Личное сообщение · #12 Кому интересно отловил лоадер написанный на нете. Скрывался под именем VCore.exe. В архиве он и то что скрывалось у него в ресурсах.Пароль virus 25f0_29.12.2016_EXELAB.rU.tgz - wewewe1.zip
|
|
|
Создано: 29 декабря 2016 16:40 · Поправил: difexacaw · Личное сообщение · #13 Medsft Имеет смысл изучить качественные поделки, что бы получить знания и техники. Но что то на скриптах убогое и унылое не представляет какого либо интереса в принципе. ----- vx |
|
|
Создано: 30 декабря 2016 10:32 · Личное сообщение · #14 Улыбнуло: переписка с касперски. Им. Здравствуйте! Отловил лоадер. Пароль virus В архиве VCore.exe - это оригинал loader.exe - это то что было у него в ресурсах.(Достал чтоб Вам легче было)))) Ответ Спасибо, что отправили файл на исследование в Антивирусную Лабораторию. Антивирус Касперского проверил файлы. Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах loader.exe - not-a-virus:HEUR:Downloader.MSIL.Temonde.gen Вредоносные программы не найдены в файлах: VCore.exe Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ |
|
|
Создано: 30 декабря 2016 10:42 · Личное сообщение · #15 |
|
|
Создано: 31 декабря 2016 22:22 · Личное сообщение · #16 difexacaw пишет: Но что то на скриптах убогое и унылое не представляет какого либо интереса в принципе подобное анализируется автоматикой. если это вызывает затруднения это лишь говорит об уровне исследователя, а малварка даже примитивная может приносить профит, ибо паразитирует на компьютерной безграмотности. | Сообщение посчитали полезным: HAOSov |
|
|
Создано: 25 января 2017 07:15 · Поправил: SDK · Личное сообщение · #17 Пинч шалун представил на трипонацию 18ab_25.01.2017_EXELAB.rU.tgz - svchost.zipиз этой темы https://exelab.ru/f/action=vthread&forum=5&topic=24506 |
|
|
Создано: 14 марта 2017 09:34 · Поправил: -=AkaBOSS=- · Личное сообщение · #18 скачал видео торрентом, в комплекте шёл установщик каких-то кодеков. видео не воспроизвелось по причине битого формата, а насчёт "кодек-пака" у меня серьёзные сомнения. отсутствие цп и описание типа "Microsoft corporation - trusted windows installer" их только усиливают. у кого песочница есть нормальная - посмотрите пожалуйста, что он там устанавливает (вдруг реально кодеки, а я просто параноик?  )пароль 321 |
|
|
Создано: 14 марта 2017 12:29 · Личное сообщение · #19 -=AkaBOSS=- Косит под NSIS, но это не он. C:\Sandbox\user\noinet\user\all\Microsoft\Performance\TheftProtection\TheftProtection.dll - Win32.botnet.other | Сообщение посчитали полезным: -=AkaBOSS=- |
|
|
Создано: 06 июля 2017 16:33 · Поправил: parfetka · Личное сообщение · #20 попался свеженький, на вирустотале детекты только два дня: https://www.sendspace.com/file/0hcwsp pass: virus |
|
|
Создано: 06 июля 2017 19:39 · Личное сообщение · #21 parfetka На вт детекты не могут быть по определению два дня. ----- vx |
|
|
Создано: 12 июля 2017 01:46 · Личное сообщение · #22 Доброго времени суток, друзья. Есть в руках райд по которому прошелся cry36. Попытки отыскать тело малвари на дисках закончились неудачей. Но закриптил он конечно все под чистую .... может кто нить имеет тело этой заразы для анализа , или подскажите где поискать? |
|
|
Создано: 12 июля 2017 10:13 · Поправил: VOLKOFF · Личное сообщение · #23 Пишут что в некоторых случаях помогает |
|
|
Создано: 12 июля 2017 13:40 · Личное сообщение · #24 VOLKOFF пишет: Пишут что в некоторых случаях --> это <-- помогает Да , помогает в случаях с модификациями cry9 cry128.... В моем же случае не помогло |
|
|
Создано: 12 июля 2017 13:58 · Личное сообщение · #25 Других тулз для 36 вроде пока не подвезли... По начальным изысканиям он запилен на основе девятки и шифрует только первые 10кб файла + добавляет данные в его конец. |
|
|
Создано: 12 июля 2017 14:03 · Личное сообщение · #26 VOLKOFF пишет: Других тулз для 36 вроде пока не подвезли... По начальным изысканиям он запилен на основе девятки и шифрует только первые 10кб файла + добавляет данные в его конец. Закрипчено начало размером в 0х6400 байт. А изыскания на основании чего ? есть тельце малвари ? |
|
|
Создано: 12 июля 2017 14:56 · Личное сообщение · #27 действительно определяет ваш шифровальщик как cry36 ? Сэмплы есть на онлайн анализаторах, но для скачивания нужен дев аккаунт. |
|
|
Создано: 12 июля 2017 19:54 · Поправил: kid · Личное сообщение · #28 VOLKOFF пишет: Детектор действительно определяет ваш шифровальщик как cry36 ? Базовая инфа Пост с подтвержденной информацией про 10кб Сэмплы есть на онлайн анализаторах, но для скачивания нужен дев аккаунт. детектор говорит что cry36 черт его знает , новая что ли модификация ..... вот сравнение  получил в руки сего зловреда (пасс 12345): http://dropmefiles.com/z0HgD но что то тяжело ..... не имея опыта в этой области .... Я так понимаю использование ранее инициализированых структур ( таких как например DateTime итд) для хранения уже каких то своих переменных - это способ спрятаться от эвристики? |
|
|
Создано: 28 января 2018 10:42 · Личное сообщение · #29 Всем привет! Кто-нибудь может помочь со зловредом http://dropmefiles.com/GE3cw ? |
|
|
Создано: 28 января 2018 21:02 · Поправил: gazlan · Личное сообщение · #30 catmall CC report: AES (Big Endian) 3211_28.01.2018_EXELAB.rU.tgz - vir.cc.7z
| Сообщение посчитали полезным: catmall |
|
|
Создано: 29 января 2018 06:57 · Поправил: DeeDee · Личное сообщение · #31 привет! можете глянуть, что за троян к файлу прилип. на три кб.. https://cloud.mail.ru/public/2CfH/T6BymALnf сравнение с оригинальным файлом - 00000148: 9E 8B 00000149: 4F 0C 00000188: 30 28 00000189: 5E 53 0016BEAC: F4 F3 0016BF14: E5 EA 0016BF15: 41 E9 0016BF16: FE DE .... и так далее Спасибо! |
| << 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >> |
|
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
Для печати