| Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 28 октября 2009 16:21 · Поправил: Модератор · Личное сообщение · #1 Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены. Формат запроса: 1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...." 2. Аномалии при работе с компом, которые заметили. 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). 4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений. ----- My love is very cool girl.  |
|
|
Создано: 13 февраля 2010 22:12 · Поправил: bR0tAn2010 · Личное сообщение · #2 1. Разобраться что делает эта зараза 2. Почти не открываются сайты (очень медленно) и соотношение отправлено/получено 3/1), но если отключить и снова включить сетевое соединение 2-3 сайта с нормальной скоростью загружаются. 3. uploading.com/files/c5df6d39/aekwujfk.sys/ 4. Также он скрывается в таком же файле, как и Autorun серия вирусов. |
|
|
Создано: 14 февраля 2010 00:19 · Личное сообщение · #3 Это atapi.sys из WinXP SP2 |
|
|
Создано: 21 февраля 2010 19:39 · Личное сообщение · #4 И мне наконец "повезло" SMS вирус попался, похоже он сильно укрепился, при старте системы на весь экран окно, ничего больше не работает, даже пезезагружать приходится кнопкой, при попытке переустановить систему с СД, вместо появления загрузочного меню- синий экран с собщением типа жесткий диск не найден, похоже он в БИОС залез. Загрузка с СД идет очень долго. Снял диск, на своем компе скопировал весь диск С к себе и отформатировал, сейчас пробуют переустановить систему. Я пока просматриваю скопированное . Нашел один подозрительный файл. Посмотрите пож. На этом диске два раздела при попытке открыть диск D правойклавишей мыши появляется окно выбора прогаммы которой нужно открыть этот файл, при двойном клике мышью появляется содержимое диска, видимо запускается авторан. Вирус скачали с сайта " в контакте" там сказали девчонке что "классная программа". И еще один момент при просмотре диска D в редакторе с адеса 200h до 2000h там ноли а затем идет PE файл, на своих дисках и на диске С содержимое примерно совпадает, я на всякий случай переписал содержимое со всех дисков с начала и до 300h, если понадобится могу выложитью Вопрос к знатокам- при выборе загрузки в БИОСе есть ли обращение к жесткому диску или только к дисководу, ведь как то вирус умудряется получать управление раньше загрузочного диска. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 21 февраля 2010 20:53 · Личное сообщение · #5 Если в BIOS поставили очередность загрузки: 1) CD 2) HDD, то загрузка с HDD начнется только в 3-х случаях 1) Комп не увидел CD 2) CD передает управление HDD 3) Настройка в BIOS не действует Последнее возможно, только если настройки не сохраняются или был инжект кода в BIOS. ----- IZ.RU |
|
|
Создано: 21 февраля 2010 20:59 · Личное сообщение · #6 Все, пошла загрузка после форматирования диска на другом компе. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 21 февраля 2010 21:12 · Личное сообщение · #7 DenCoder инжект кода в BIOS. Это - фанастика! ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 21 февраля 2010 21:49 · Личное сообщение · #8 Coderess www.phrack.com/issues.html?issue=66&id=7 разделы 3.2 и 4 и www.xakep.ru/post/46650/default.asp Реальность! ----- IZ.RU |
|
|
Создано: 22 февраля 2010 00:04 · Личное сообщение · #9 Не только у меня не пошла переустановка, мои родственники тоже цепляли недавно, вероятно такой вирус, я потом их распрашивал, парень который им делал переустановку тоже не смог сразу переустановить систему(что меня довольно сильно удивило тогда), во вторых при загруске с диска очень долго думает БИОС, примерно раза в четыре дольше, такое впечатление что управление передается несколько раз между жестким и СД и на заставке этого вируса написано что переустановка системы приведет к потере всех данных. Что то никто по поводу выложенного файла не пишет. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 22 февраля 2010 00:29 · Личное сообщение · #10 Ссылка нерабочая, попробуйте поправьте. ----- IZ.RU |
|
|
Создано: 22 февраля 2010 00:58 · Личное сообщение · #11 gena-m пишет: И мне наконец "повезло" SMS вирус попался FileName: setup.exe Size: 410 Kb (420352 byte) Data/Time compile: Fri Jun 19 22:22:17 1992 UTC MD5: 977421ACF8361FD2825A63920BB894C1 Написан на Delphi, ничем не обработан. Действия стандартные для троянов вымогателей: копирует себя в системную папку, ставит себя в автозагрузку, отключает загрузку в безопасном режиме. Код для разблокировки 3323456 просто зашит в программу. |
|
|
Создано: 22 февраля 2010 03:56 · Личное сообщение · #12 кому нибудь попадался такой pornoSMS вирус AdSubscribe.dll покрытый аспротом? |
|
|
Создано: 22 февраля 2010 09:40 · Личное сообщение · #13 Ссылка www.multiupload.com/L9SJFJVTTT FileName: setup.exe Size: 410 Kb (420352 byte) Да это он. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 22 февраля 2010 13:20 · Личное сообщение · #14 GMax пишет: FileName: setup.exe Size: 410 Kb (420352 byte) Вот и EP_X0FF-у этот троян попался  |
|
|
Создано: 16 марта 2010 23:45 · Личное сообщение · #15 Только что на почтовый ящик получил письмо следующего содержания: Dear user of facebook, Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. Thanks, Your Facebook. с вложением Facebook_password_357.zip, внтури которого файл Facebook_password_357.exe Адрес отправителя: change@facebook.com И всё бы хорошо, НО!... я не зарегистрирован на фэйсбуке - это самое главное! К тому же: зачем восстановленный пароль прятать в исполняемый файл, упакованный UPX v3.0 с изменённой с помощью программы restorator иконкой от ворда? Файл уже отправлен в лабораторию Касперского. Файло в аттаче, пароль стандартный.  0eba_16.03.2010_CRACKLAB.rU.tgz - Facebook_password_357.rar
----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 17 марта 2010 02:29 · Поправил: Flint · Личное сообщение · #16 Talula Это даунлоадер отстукивает сюда funnylive2010.ru/ms/bb.php?v=200&id=979875378&b=16marta&tm=39 Получает команду Code:
Затем скачивает и устанавливает псевдоантивирус Лол в "антивирусе" даже лицензионный ключик есть 1145-17884799-7733 ----- Nulla aetas ad discendum sera |
|
|
Создано: 17 марта 2010 10:41 · Поправил: Twister · Личное сообщение · #17 Facebook_password: Файл скорее всего пожат UPX более ранних версий, нежели 3, ибо 3.04 распаковывать его отказалась. А может автор заюзал скрамблер, не суть важно. В распакованном виде весит вдвое больше. EXE частично покриптован, имеется какая-то примитивная антиотладка. Расшифровщик пишет прямо в секцию кода, делая ее предварительно доступной на запись. То ли код был подвержен морфингу, то ли автору не влом было на каждую инструкцию придумывать по пять эквивалентных. Там же в секции кода содержится dll, которая изрыгается в темповую директорию с именем <n>.tmp, где <n> - последовательные числа. У меня нумерация началась с 8-ки, скорее всего гуано считает кол-во имеющихся файлов с расширением .tmp. Оригинальное имя длл - intro.dll. Dll импортирует только LoadLibrary и GetProcAddress, имеет четыре экспортируемых функции с бессмысленными именами. Очень уж хотел автор этой поделки сокрыть полезную нагрузку  Потом пришло время обеда и голод пересилил желание исследовать дальше. Тем более я уверен, что ничего особо интересного тут все равно не будет. Если кто желает продолжить, то пожалуйста, выкладываю dll. Пароль стандартный. хttp://slil.ru/28808387 ЗЫ. Идея топика очень по душе 
|
|
|
Создано: 20 марта 2010 13:38 · Личное сообщение · #18 какой-то упрямец (заразился через флешку - авторанс) не смог удалить файл даже в сейф моде (хиренс помог) пишет 2а ключа в реестр (автозапуск) блокирует свое удаление как файл неужели там драйвер? вирустотал - почти молчит (2а суспектед, ничего конкретного) кому интересно поглазеть - multi-up.com/240388 |
|
|
Создано: 21 марта 2010 13:29 · Личное сообщение · #19 sendersu пишет: кому интересно поглазеть - multi-up.com/240388 P2P-Worm.Win32.Palevo.ann Запакован UPX, распакованный: FileName: csrss.exe Size: 209 Kb (214016 byte) Data/Time compile: Tue May 22 12:55:29 2007 UTC MD5: 39C87B2EE68EE96FBECED5B2A73A5DC5 www.virustotal.com/ru/analisis/860a1d9eeba0ef47475ae28b3ad7228ceb9dec518f41a832616d4b10000ddd9b-1269105712 www.threatexpert.com/report.aspx?md5=39c87b2ee68ee96fbeced5b2a73a5dc5 Код содержит большое количество фейк кода с множеством вызовов различных API. Имеется антиотладка -- SEH + деление на ноль. В выделенной памяти загрузчик расшифровывает (в два прохода) в выделяемую память исполняемый файл, настраивает его и переходит на EP. Size: 113 Kb (115740 byte) Data/Time compile: Sat Feb 27 13:27:54 2010 UTC MD5: A5B6AABF7AFA742E3FFC5C7B4E26D9D7 www.virustotal.com/ru/analisis/e8621553d1597252b2cec354af7b5665410e2df8c8ad06880e429df4e25cd9d1-1269165939 Инициализирует импорт, мапит себя и импорт в процесс explorer.exe и создает удаленный поток. Поток в эксплорере проверяет мютекс “aljsughu55”, затем копирует себя в "C:\Documents and Settings\Admin\csrss.exe" и открывает его, что блокирует операции с файлом. Далее загружает необходимые библиотеки. Прописывает себя в автозагрузку “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman”. Создает пайп \.\pipe\iuuualj55, через него идет управление ботом. Создает окно с классом “noaljclass”, для копирования себя на USB носители.  Выполняет функцию InternetOpen с агентом "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (.NET CLR 3.5.30729)". В бот зашиты следующие командные центры: sandra.prichaonica.com  pica.banjalucke-ljepotice.ru  l33t.brand-clothes.net  Вот тут исследования того же семпла -- www.kernelmode.info/forum/viewtopic.php?f=16&t=70 |
|
|
Создано: 21 марта 2010 20:30 · Личное сообщение · #20 GMax спасибо! оказиваеться я захостил у себя бота на пару часов ))) самое интересное что ета ботина и в сейф моде работает! а заразился через флешку, как ето банально не звучит...... прям ера ДОСа с дискетами но по=новому кста, простой smart whois сервис показал что: 1) l33t.brand-clothes.net (91.211.117.111) 91.211.116.0 - 91.211.119.255 Zharkov Mukola Mukolayovuch Zharkov Nikolay Ukraine, Kyiv, Entuziastov str. 29, of. 42 +38-044 587-83-16 2) pica.banjalucke-ljepotice.ru (91.211.117.111) 91.211.116.0 - 91.211.119.255 Zharkov Mukola Mukolayovuch Zharkov Nikolay Ukraine, Kyiv, Entuziastov str. 29, of. 42 +38-044 587-83-16 3) sandra.prichaonica.com (91.211.117.111) 91.211.116.0 - 91.211.119.255 Zharkov Mukola Mukolayovuch Zharkov Nikolay Ukraine, Kyiv, Entuziastov str. 29, of. 42 +38-044 587-83-16 |
|
|
Создано: 01 апреля 2010 22:17 · Личное сообщение · #21 Здравствуйте! Помогите с такой задачей. Нужно определить, есть в этом exe вирусня или нет. Вирустотал показывает вот: www.virustotal.com/ru/analisis/fa27d81e1590af99b4293e5416c8d6e499bf17362ae7bbd8dd7ba5bc0d42fcab-1270147957 Чел, который проводил манипуляции с этим exe уверяет, что бояться нечего и файл чист. Типа лже-срабатывания... Помогите разобраться, пожалуйста. Есть там вирус или нет. Если есть, в чём его задача.... Заранее благодарю. Вот сам файл: link_deleted_by_forum_engine/files/cpdzff7qo Пароль на архив: 123 |
|
|
Создано: 01 апреля 2010 23:39 · Личное сообщение · #22 antiMOCT, похоже именно на ложные срабатывния. погляди какие авиры увидели в нём заразу и посмотри чем упакован файл. ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 02 апреля 2010 00:24 · Личное сообщение · #23 Talula Понимаете в чём заковыка... Есть 2 таких экзешника. В одном менялись ресурсы (это тот, который я прошу проверить), и второй, в котором не менялись ресурсы, но упакованы они одним и тем же пакером PKLITE32. Вот скрины проверки второго экзе www.virustotal.com/ru/analisis/567a65d6b5c96242ed4b65b0881ace0dd17913fa51a6f6ec0a01cb9d1fb319ed-1270147774 Тут видно, что орут пару антивирей на пакер. А на первый целый хор взъелся... Я распаковал подозрительный экзешник. Но каспер по прежнему видит в нём Backdoor.Win32.SdBot.rfm Может туда вместе с заменой ресурсов ещё и какую приблуду засунули? |
|
|
Создано: 02 апреля 2010 00:38 · Личное сообщение · #24 antiMOCT Не качал больно много. Может там просто тупо воткнута какая-нибудь вирусная сигнатура? |
|
|
Создано: 02 апреля 2010 01:28 · Личное сообщение · #25 NikolayD NikolayD пишет: Не качал больно много. Может там просто тупо воткнута какая-нибудь вирусная сигнатура? Если б я знал, я б не спрашивал 
|
|
|
Создано: 02 апреля 2010 01:34 · Личное сообщение · #26 Это здесь не при чем! У файла подсчитываются размер, CRC32, MD5-хеш, SHA1-хеш... Вот это и есть сигнатуры. ----- IZ.RU |
|
|
Создано: 02 апреля 2010 02:12 · Поправил: NikolayD · Личное сообщение · #27 DenCoder С чего бы это вдруг её что невозможно поменять? Почему нет? |
|
|
Создано: 02 апреля 2010 02:55 · Личное сообщение · #28 А, имеешь ввиду типа "Ijeefo!Esbhpo!Wjsvt" по смещению 0x610, что означает "Hidden Dragon Virus" ? Может быть, конечно... ----- IZ.RU |
|
|
Создано: 02 апреля 2010 04:54 · Личное сообщение · #29 У веба определена сигнатура для Win32.Sdbot: CureIt 6.00.1.03150 Идентификатор имени и типа: 0x386F465B Первый опкод сигнатуры: 0x68 Размер сигнатуры: 16 байт. Хэш сигнатуры: 0x11793745 Вычисляется ксорами: Code:
Кому не лень, могут сбрутфорсить, ну или обращик виря найти и вытянуть код для сигнатуры. |
|
|
Создано: 30 апреля 2010 20:30 · Поправил: SER[G]ANT · Личное сообщение · #30 Вообщем, все как обычно, сижу в интернете, лазию по всяким башам/хабрам/смотрю порно, потом перезагружаю комп и о чудо, мне впервые в жизни попался SMS! (осторжно, сисьге!:s6 Проживает в C:\Users\Banner.exe вместе с файлов time.txt, к себе в гости приглашает firefox.exe и сидят они там, соображают на троих. А чтобы я сиськи видел чаще, прописывает себя (Banner.exe) в автозагрузку, причем без всяких ухищрений. Не званного гостя я выгнал, потом на всякий случай прошелся свежескаченным CureIt'ом, который ничего не нашел. Но вот беда, после каждой загрузки системы я вижу "Квадрат Малевича" и курсор мыши. И приходится жмакать Ctrl+Alt+Delete и перезапускать explorer.exe. Видать он еще и нагадил в реестре, но где, не знаю. Систему переустанавливать ой как не охото, т.к. проще написать и засунуть в автозапуск программку, убивающую и запускающую explorer.exe заново. Может кто сталкивался с ним и знает как полностью избавится от последствий его прибывания ? И да... про вспомнил только после того как убил этот SMS, хотя не факт что все бы вернулось на место. |
|
|
Создано: 30 апреля 2010 20:38 · Поправил: ARCHANGEL · Личное сообщение · #31 SER[G]ANT Не совсем ясно - так explorer ты просто запускаешь, или TerminateProcess в Task Manager, а только потом запуск? Дело в том, что explorer службы не запускает - services.exe и только он запускает службы. ----- Stuck to the plan, always think that we would stand up, never ran. |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
|
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
Для печати