Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

@Plutos
Вирустотал не единственный сервис такого рода
Воспользуйся https://app.any.run/submissions и вбей в поиск ZLoader,после нажми get sample
https://prnt.sc/swh4ar

| Сообщение посчитали полезным:

vasilevradislav пишет:
Вирустотал не единственный сервис такого рода

Да, это правда.
Вот, кстати, --> список <-- Free Malware Sample Sources for Researchers, если кому нужно.

И я по многим из них искал, но там тогда был старый ZLoader 2017 года, а меня интересует новый (май 2020).
Если у тебя есть регистрация на https://app.any.run/submissions, можешь качнуть и перезалить куда-нибудь?

Кстати, почему там samples in excel format? Обычно zip achives?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Если у тебя есть регистрация на https://app.any.run/submissions, можешь качнуть и перезалить куда-нибудь?

Там бесплатная регистрация,ты можешь это сделать сам
Сэмплы там идут в зипе под паролем infected.
Exel скорее всего сам файл которым спамили и грузили Zloader->Dridex
Алсо,https://twitter.com/search?q=Zloader&src=typed_query&f=live
Достаточно много местных блоггеров выкладывают сэмплы туда
И хэшик дадут и линк на эниран/вирусбэй/Малшейр

| Сообщение посчитали полезным: plutos

vasilevradislav пишет:
https://twitter.com/search?q=Zloader&src=typed_query&f=live

Самое ОНО, just what the doctor ordered!
Раньше не знал про него, спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

кому интересен анализ малвари --> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: -Sanchez-, plutos

кому интересен анализ малвари --> FLARE VM <--Environment.
Install on fresh VMware installation of your choice.
все tools в одном флаконе, включая LAB.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Install on fresh VMware installation of your choice.

Честно,так и не понял прикола флейр вм
Ставит кучу мусора дублирующего самого себя
Например:Зачем три разных хексэдитора?Зачем отдельный декомпилер под вб,если уже есть днспай который умеет его декомпилировать?Зачем мне на машине с виндой гидра,ида,бинари нинжа и радар под кутером одновременно?Зачем илспай если есть днспай?Зачем нотпад++,сублим и вим одновременно?И там список можно еще долго продолжать.

| Сообщение посчитали полезным:

vasilevradislav пишет:
Зачем три разных хексэдитора

Ну не нужно, так не ставь, тебя что, кто-то заставляет? Это ж не приказ, а просто информация. Прочитал и пошел мимо.
А ты вроде как ищешь к чему бы прицепиться.
Мне было удобно: скрипт отработал, и у меня есть все, может что и лишнее, не нужно лазить, искать, вручную устанавливать, а ты смотри сам, хозяин - барин!
Не будем тему засорять!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: DrVB_5_6, vasilevradislav