Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.




Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 30 апреля 2010 20:44
· Личное сообщение · #2

SER[G]ANT
AVZ пробовал?




Ранг: 147.7 (ветеран), 50thx
Активность: 0.120
Статус: Участник
sv_cheats 1

Создано: 30 апреля 2010 21:09 · Поправил: SER[G]ANT
· Личное сообщение · #3

ARCHANGEL пишет:

Не совсем ясно - так explorer ты просто запускаешь, или TerminateProcess в Task Manager, а только потом запуск? Дело в том, что explorer службы не запускает - services.exe и только он запускает службы.


Да, сначало TerminateProcess и запускаю его заного через cmd. Про службы я зря ляпнул, все норм (просто попутал их с др. программами в автозагрузке). Вот такая вот картина у меня при запуске http://img405.imageshack.us/img405/4611/20287778.jpg

int пишет:
AVZ пробовал?


нет, но сейчас попробую.

upd
не помогло.




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 30 апреля 2010 23:37 · Поправил: Flint
· Личное сообщение · #4

SER[G]ANT

Explorer.exe вообще прописан в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ?

P.S. И не плохо было бы посмотреть на сам зловред.

-----
Nulla aetas ad discendum sera




Ранг: 251.3 (наставник), 81thx
Активность: 0.140.11
Статус: Участник

Создано: 30 апреля 2010 23:42 · Поправил: cppasm
· Личное сообщение · #5

SER[G]ANT попробуй скачай MalwareBytes AntiMalware и просканируй машину.
Она такую срань обычно хорошо удаляет - руками не всё скорее всего снёс.
И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Должно быть (все ключи REG_SZ):
Shell="Explorer.exe"
UIHost="logonui.exe"
Userinit="C:\windows\system32\userinit.exe,"




Ранг: 147.7 (ветеран), 50thx
Активность: 0.120
Статус: Участник
sv_cheats 1

Создано: 01 мая 2010 01:31
· Личное сообщение · #6

cppasm пишет:
И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Должно быть (все ключи REG_SZ):
Shell="Explorer.exe"
UIHost="logonui.exe"
Userinit="C:\windows\system32\userinit.exe,"

Во, помогло.
Ключа UIHost="logonui.exe" небыло, а в Shell засранчег прописал "explorer.exe rundll32.exe"
спс.

Flint пишет:
P.S. И не плохо было бы посмотреть на сам зловред.

не сохранил =/




Ранг: 147.7 (ветеран), 50thx
Активность: 0.120
Статус: Участник
sv_cheats 1

Создано: 01 мая 2010 20:21 · Поправил: SER[G]ANT
· Личное сообщение · #7

NikolayD пишет:
SER[G]ANT забудь про интернет ипсортил, или юзай новую сырую девятку под неё ПОКА ничего нет в паблике разумеется. Тебе то он зачем не понимаю зачем держать его у себя? Испортил это для исследователей бацилл.


Вроде, этим сообщением, вы подразумеваете, что IE - уг и я его использую для серфа. Речь шла не о Internet Explorer (iexplorer.exe), а об Explorer (explorer.exe).



Ранг: 40.4 (посетитель), 3thx
Активность: 0.080
Статус: Участник

Создано: 19 мая 2010 11:08
· Личное сообщение · #8

Интересна, а кто-нибудь реверсил вирь под кодовым названием Win32.Vitro\Win32.JunkPoly - (мод виря)
Месяц назад этой шнягой комп заразился. Пришлось срочно госпитализировать.



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 19 мая 2010 12:42
· Личное сообщение · #9

ZLOvar пишет:
Интересна, а кто-нибудь реверсил вирь под кодовым названием Win32.Vitro\Win32.JunkPoly - (мод виря)

www.securelist.com/ru/descriptions/6481797/



Ранг: 18.9 (новичок), 15thx
Активность: 0.010
Статус: Участник

Создано: 23 мая 2010 23:16
· Личное сообщение · #10

Вот дали вирус...
Подскажите, в чём проявляется его активность?
Kaspersky Anti-Virus говорит что karla.7z/karla.exe - OK
Но уже в работе: virusinfo.info/showthread.php?t=77770
Вот вирус
rghost.ru/1693172
www.sendspace.com/file/ulm7xw

theCollision, Извиняюсь, что загрузил без пароля. Надеюсь, это не столь важно.



Ранг: 0.1 (гость)
Активность: 0=0
Статус: Участник

Создано: 24 мая 2010 13:11
· Личное сообщение · #11

L0ST,

Filename: karla.exe
MD5: ec671543bb5b65a6eea84f5dd3b1d141
SHA-1: acfd95d1f900c45730851b14505dffcca3a6d01e
File Size: 157696 Bytes

Создает

C:\Documents and Settings\Administrator\ctfmon.exe
\Device\NamedPipe\Win32Pipes.000000ac.00000001
pipe\iuuualj55

Пытается сделать коннект

tinaivanovic.sexy-serbian-girls.info

Дальше лень....



Ранг: 18.9 (новичок), 15thx
Активность: 0.010
Статус: Участник

Создано: 25 мая 2010 22:11
· Личное сообщение · #12

executor, спасибо.
по-видимому, оказался просто переделанный hllw.lime.18 (так его называет dr.web со свежими базами).




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 25 мая 2010 23:10
· Личное сообщение · #13

muji-trans.ru/foto67.gif
Как работает эта шняга и что хочет от компа? (под w7 не пашет)
сама не палится ничем вообще...
скачивается только при первом обращении, правит hosts (копию сохраняет)
создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh




Ранг: 32.5 (посетитель), 3thx
Активность: 0.030
Статус: Участник

Создано: 26 мая 2010 05:00
· Личное сообщение · #14

Isaev, а переложить можно куда-нибудь? С первого раза не стал качать, щас не качает. Кукисов от ней не нашел



Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 26 мая 2010 05:09
· Личное сообщение · #15

Isaev пишет:
сама не палится ничем вообще...

там палиться то нечему....

Isaev пишет:
скачивается только при первом обращении, правит hosts (копию сохраняет)
создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782

Вот именно так она и работает, вытаскивает из тела троян и навязывает его тебе и всё.




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 26 мая 2010 05:45 · Поправил: Isaev
· Личное сообщение · #16

Dem0n1C пишет:
а переложить можно куда-нибудь?

rghost.net/1713615

описания активности по нему нету www.securelist.com/ru/descriptions/4130049/Trojan.Win32.Agent2.lhz Исходя из названия не добрый... Что именно он удалять хочет?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh




Ранг: 32.5 (посетитель), 3thx
Активность: 0.030
Статус: Участник

Создано: 26 мая 2010 20:57 · Поправил: Dem0n1C
· Личное сообщение · #17

Isaev вот что извлекает..... вот отчет вирустотал там есть отчет сендбокса



Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 26 мая 2010 21:26
· Личное сообщение · #18

Господа, у меня есть EXE трояна. Он чем-то упакован, скорее всего каким-то собственным методом автора.
Пытался его распаковать основываясь на туторы, ничего не вышло. Не могу найти OEP. Зато вижу как он потихоньку распаковывается в память...
Кто-нить может помочь мне в этом деле?

Прошу прощения если не туда сунулся... Скажите куда и как...




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 26 мая 2010 21:33
· Личное сообщение · #19

Тебя шапка не смущает? Что там написано, как надо постить. Как минимум, нужен линк.




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 26 мая 2010 22:18 · Поправил: Isaev
· Личное сообщение · #20

Dem0n1C что извлекает я и сам знаю, а другие его названия есть по моей ссылке в правом столбике снизу Вопрос был что делает то, что извлекается

GMax спасибо, www.threatexpert.com прикольный анализатор
пинч это не страшно, всё что можно стащить пошифровано

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh




Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 26 мая 2010 22:31
· Личное сообщение · #21

Isaev пишет:
Dem0n1C что извлекает я и сам знаю, а другие его названия есть по моей ссылке в правом столбике снизу Вопрос был что делает то, что извлекается


FileName: foto067.scr
Size: 92 Kb (94928 byte)
Data/Time compile: Mon Dec 07 13:52:22 1998 UTC
MD5: 1B06BE7E638E22A0C5562395C3599198
virustotal.com
threatexpert.com
Файл обернут криптором. Расшифровывает из себя 3 файла в %SYSTEM% или в дургую папку по обстоятельствам. Файлы: risunok.exe, redmax.exe и flop.jpg.
FileName: risunok.exe
Size: 25 Kb (26504 byte)
Data/Time compile: Sat Sep 09 05:05:19 1995 UTC
MD5: 6778598DD008F4794045EFE3ADBD4B2C
virustotal.com
threatexpert.com
Что делает видно из анализа ThreatExpert...
FileName: redmax.exe
Size: 33 Kb (34752 byte)
Data/Time compile: Mon May 26 00:39:59 1997 UTC
MD5: DAB025B1C7DBF6A1012AB80CEE9EDF5A
virustotal.com
threatexpert.com
Обычный пинч.

flop.jpg




Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2010 11:38 · Поправил: Semenov
· Личное сообщение · #22

Вот оно: _deleted_
Ну как всегда будте осторожны. Не могу найти OEP.



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 27 мая 2010 18:28
· Личное сообщение · #23

FileName: build.exe
Size: 87 Kb (89600 byte)
Data/Time compile: Mon Sep 22 07:44:46 2008 UTC
MD5: 91F3C631A6C5DC644437E20795E0276E
virustotal.com
threatexpert.com
Очень простенький криптор, на таком как раз и надо учится.
Вначале криптора небольшой фейковый слой кода с API затем лоадер в выделенной памяти и переход на OEP.
Внутри троян Zeus.

OEP -- 406874



Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2010 19:53
· Личное сообщение · #24

Огромное спасибо за реакцию.
Подскажите где же всё таки там OEP. Дальше попробую сам, пока опять не заткнусь.



Ранг: 32.5 (посетитель), 3thx
Активность: 0.030
Статус: Участник

Создано: 27 мая 2010 20:01
· Личное сообщение · #25

SemenovGMax пишет:
OEP -- 406874




Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2010 20:16 · Поправил: Semenov
· Личное сообщение · #26

Вау! Спасибо. Щас погляжу. Я думаю всё равно эпопея не кончилась ещё

Ну да. Как и ожидалось. Как вы туда попали? Использую OllyDbg.
Что я делаю:
1. ставлю BP на 0x41187F CALL EDX
2. В этом месте EDX=0x3D0004, перехожу туда ручками, снимаю это BP ставлю новый на 0x3D0004
3. После F9 я тут. По всей видимости распаковка.
Если поставить BP на 0x3D01DC то видно как в адрес по EDI идёт распаковка/дешифрация
А дальше то что? как попасть на OEP потом после "милиона" F9 на этом месте я попадаю на 0x7C90EB94 и всё...

Что я пропускаю?



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 27 мая 2010 21:41
· Личное сообщение · #27

Semenov пишет:
А дальше то что?


Посмотри внимательней, при трассировке удобно обходить циклы
используя брейкпоинты на код после цикла.

посмотри на адрес 0x3D0128 повнимательней



Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2010 22:10
· Личное сообщение · #28

Похоже я туплю или чего-то не понимаю.
Вы уверены что это OEP? Просто всё остальное в памяти процесса всё ещё не похоже на работоспособный PE. И сдампить его не удаётся. Может надо что-то ещё?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 27 мая 2010 22:35
· Личное сообщение · #29

Может, с распаковкой всё же съедете в отдельную тему или личку?



Ранг: 5.1 (гость)
Активность: 0.010
Статус: Участник

Создано: 27 мая 2010 23:08
· Личное сообщение · #30

Понял. Переехал вот сюда: http://exelab.ru/f/action=vthread&forum=5&topic=16300




Ранг: 213.0 (наставник), 4thx
Активность: 0.220
Статус: Участник
Тот ещё Lamer

Создано: 01 августа 2010 14:36
· Личное сообщение · #31

знакомый подхватил очередной блокиратор: полностью чёрный экран, рамка с текстом, внизу поле и две кнопки. просит положить 400 рэ на билайновский номер - типа код на чеке будет.

загрузился с убунты, пытался найти что-то по датам изменений - бесполезно! ни в темп папке, ни в системных, ни в програм файлз ничего нет.

решил подменить winlogon.exe на оригинальный (на компе пропатченный "активационный", на ноутбуке оем лицензия) - загрузилась просьба об активации винды. но это как я понимаю из-за того, что при неактивированной винде толком ничего не подгружается. после замены на другой патченный снова заблокировано всё.

может кто подскажет, в какую сторону копать? хр сп2...

-----
Do Not Get Mad Get Money! ;)



<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати