Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Пользуюсь онлайн армором премиум так он обнаружил в файле screen logger, keylogger и были попытки получить доступ к жесткому диску. Прошу проверить этот файл, действительно ли так? Спасибо.
Ссылка на файл - http://zalil.ru/30895772

| Сообщение посчитали полезным:

1. Необходимо подробное описание алгоритма работы данной программы(в пределах разумного)
2. Ничего не происходит визуально,но программа выполняется и некоторые системы частично нагружает.
3. http://exelab.ru/f/files/d02b_05.06.2011_EXELAB.rU.tgz
4. Пробовал пройтись Оленькой,подозрительного ничего не смог найти.

Большая просьба рассказать,как и какими средствами проводился анализ =\.

Ссылка на предыдущие посты,где уже в распакованном варианте всё есть = ).Как определен распаковщик - непонятно

http://exelab.ru/f/action=vthread&forum=2&topic=18316&page=-1#5

| Сообщение посчитали полезным:

Wardrag пишет:
Как определен распаковщик - непонятно
Когда криптор распаковывает основной код в выделенную для этого память, чуть выше самого кода есть область с данными включающая, в том числе название и версию криптора.
раннее там встречалось и имя автора и сообщения от него -- http://v-martyanov.livejournal.com/8034.html
Во второй версии криптора в свойствах файла (VersionInfo) в поле Company Name значилось ООО Закриптуй

add: а троян называется Darkness DDoS bot, в сети много информации включая билдер и админку

add: в аттаче распакованный файл (pass: malware)

bd10_05.06.2011_EXELAB.rU.tgz - _00160000.rar

| Сообщение посчитали полезным:

Хех,так распаковывать вручную надо или анпакер уже есть ? = )

| Сообщение посчитали полезным:

Спасибо ещё раз.Всякие строки палевные вижу,и уж нормальная прога не стала бы wand.dat запрашивать : D.А вот название и версию криптора так и не нашёл...Ладно,не важно ))).Главное,что суть ясна...

| Сообщение посчитали полезным:

Не скаже те ли, что делает это и как можно от него избавиться?

http://www.multiupload.com/SA7362DZGI
http://rghost.ru/11302751

PS
Пароль: virus

Перезалил архив без сжатия и пороля, внутри только 1 ехе с атрибутами скрытый (атрибут чет не меняется).
http://megaupper.com/files/ULDPX43E/virus.7z

| Сообщение посчитали полезным:

BAHEK пишет:
Не скаже те ли, что делает это и как можно от него избавиться?

http://www.multiupload.com/SA7362DZGI
http://rghost.ru/11302751

PS

Пароль: virus

Архив кривой какой-то:
! E:\share\svchost.7z: Неизвестный метод в svchost.exe
! E:\share\svchost.7z: сбой при операции

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: Nightshade

Flint
архив нормальный, даже тот что с паролем

BAHEK
Detected file format: Microsoft.Net assembly

--> virustotal.com <--

там в коментах есть названия функций (и переменных) и строки для добавления в hosts файл

--> threatexpert.com <--

| Сообщение посчитали полезным: BAHEK

1. Узнать что конкретно эта сцука тырит с компа.

2. Комп начал часто виснуть, иногда выпадать в BSOD (но это хз - от вируса или нет, система полуубита). На каспере оказалось туча хуков (на которые он даже не пикнул). вирусню каспер нашёл только после унхука. Был также похучен explorer.exe (только интернетовские API).

3. http://rghost.ru/14737271 (пароль virus).

4. Прописывается в автозагрузку, вроде бы создаётся копия в папке %windir%\pss, в папке ApplicationData у пользователя создаётся папка KYL (в ней обнаружил скрин моего кипера, и текстовый файл с кнопками которые я в кипере нажимал).

| Сообщение посчитали полезным:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=TrojanDownloader%3aWin32%2fCarberp.A&threatid=2147631028
http://www.securelist.com/ru/descriptions/24369520/Trojan-Spy.Win32.Carberp.vy
http://virusinfo.info/showthread.php?t=102214

| Сообщение посчитали полезным: tihiy_grom

Vovan666
Я в курсе про это и уже давно полечился. Хотелось бы узнать что именно от меня ушло в неизвестном направлении.

| Сообщение посчитали полезным:

tihiy_grom
троян ворует приватную информацию для доступа к банковским системам (cyberplat, kp, PayPal, ibank-и, Trusteer)

Порадовали оставленные строки отладочной информации:


| Сообщение посчитали полезным: tihiy_grom

GMax, класс - редкая сеть имеет маску 1.0.0.0, её клиент 28 видимо уже пойман...

Что-то наплыв в последнее время по банкам и ПС... стоит добавить цели такие, как cyberplat, bssibank, inist - за месяц у жены поймал 3 зверька, среди которых был carberp, настроенный на них...

Сдаётся мне, что после открытия исходников Зевса и др. заражаются всё чаще...

P.S. А некоторые забаненные (и даже не в одном кол-ве - радоваться здесь или тревогу бить - хз ), ввиду отсутствия взаимопонимания и... находят "интересные вещи" в винде

-----
IZ.RU

| Сообщение посчитали полезным:

Нид Хэлп

Есть подозрение на подцеп , симптомы .. Перезагрузка через примерно 30 минут , уходит в бсод , прочитать не успеваю , заметил всего 2 раза , остальные не видел. Можно было бы списать на неполадку в компе , но перед тем как он уходит в бсод, появляется значок устранения проблем виндовс , где написано что Windows Defender отключен , через 2 секунды бсод.

Стоят нод + Comodo , виндовс 7 32 , с последними обновлениями ..

Предварительная проверка ничего не дала , авторан , реестр , наблюдение за процессами и активностью ничего не дала , антивирусы работают исправно , загрузочный сектор чист ..

Особая черта - В журналах лога вин7 , нет ни одной записи о бсоде или проблеме , также нету минидампа .. все логи чистые ..

Все работало нормально , последнее что сделал , обновил базу антивируса комодо , которая состояла из 200 мегабайт ... но не саму комоду ..

Мнения или советы может у кого есть?

Airenikus Это проверил , ничего подозрительного, кроме одного стилскода, но там на первый взгляд ничего , проверю это после , странно но уже сдвинулось время до 2 - 3 часов , убрать и посмотреть это да , сделаю это уже последним шагом и проверю стилсы .. но реакция все равно странная

P.S. вопрос решен , это была Ошибка END_OF_NT_EVALUATION_PERIOD

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Убрать нод, комод - посмотреть на реакцию, попробывать антируткитом пройтись, посмотреть на хукнутые апихи.

А вообще АВ + ФВ - не комильфо.

| Сообщение посчитали полезным:

Ребят, кто в яве силён, посмотрите что сие чудо делает. hxxp://aogijzqtalking.info/main.php?page=9ac51deb6e5dbb6d
изначальная ссылка была hxxp://rosehome.org/phpbb2/files/uyrtfuf6.htm посл серии переадресаций выходит на вышеприведённую , как я понял с эксплойтом.

кому не лень посмотрите.

От модератора: исправил протокол в линках, чтоб случайно не тыкали

| Сообщение посчитали полезным:

--> почитай гдето с середины <--Грузит флешь вирус вымогалку
SGA
Ты долбанулся чтоли прямые ссылки на эсплойт вставлять?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Не кто не хочет посмотреть что за вирус, что делает?

Я думаю он как трой, весит в процесах незаметно и выполняет команды.

Вот толька от куда он их получает?

И самое интересное, он использует баг в Win7 (в остальных наверное тоже), файл содержит какой то символ, который обрезает расширение файла!
В первые такое вижу!!

pass: infected

008f_20.02.2012_EXELAB.rU.tgz - new_virus.zip

| Сообщение посчитали полезным:

waza123 пишет:
который обрезает расширение файла!
Посмотрел, прикольно..
00000000: 77 77 77 20.3F 70 69 7A.2E 53 43 52. www ?piz.SCR
20h и 3Fh "переварачивают" расширение
Microsoft Visual C# / Basic .NET

P.S. А чем ты его отловил?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

waza123 пишет:
обрезает расширение файла
File Extension Exploit

| Сообщение посчитали полезным:

Заходиш на сайт m ov ie s l v .c om , и как то иногда, наверное по IP,
впаривает этот файл: слэш ne wo utlaw_w ww.z ip
(без пробелов)

но я думаю там mod_rewrite на php файл, и повторна нескачаеш..

как я понел, они около 6000 компов уже зарозили..

по больше бы инфы что трой делает

http://codertrick.blogspot.com/2011/08/file-extension-exploit-make-exe-look.html

| Сообщение посчитали полезным:

Кому инетересно, можете посмотреть, при заблокированном авторане флешки на ней оказались 2 папки .exe , один распаковал ( накрыт упыхом), но там не ОЕП, и в заголовок код добавлен, второй смотреть не стал.
--> http://rghost.ru/37009522<--

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

--> Link <--

кряк к популярной ide сурс инсайт 35
в инструкции сказано что скопируйте в папку к программе и запустите
кряка не происходит
вирустотал говорит что бэкдор и троян (что для кряков в общем типично)
интересно не сидит ли там какая малварь


зы пароль стандартный virus

| Сообщение посчитали полезным:

Rockphorr
есть кг если чего

| Сообщение посчитали полезным:

Rockphorr пишет:
интересно не сидит ли там какая малварь

сидит, только что не понятно. exe устанавливает дллку в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
код сильно отморфлен, понять что происходит тяжело. Впервые в коде встретил такие мусорные инструкции:


Есть строки:
SOFTWARE\Microsoft\MSSMGR\
http://oberaufseher.net/img/cmd.php
http://tubestock.net/img/cmd.php

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Rockphorr

Trojan.Nebuler

Decrypted string:


| Сообщение посчитали полезным:

Flint пишет:
Впервые в коде встретил такие мусорные инструкции
Писал школьник типа инде, который не в курсе, что такой код дрючится на дизасме длин.

| Сообщение посчитали полезным:

iPoker_1.0.3.exe - програмка, установщик лейаута для покерного софта

Проверил на virustotal.com - куча срабатываний (17 из 41), касперыч однако молчит
Помогите пожалуйста определить есть ли троян в этой программке. Это они на упаковщик ругаются или там действительно вредоносная программа? Запустил на виртуалке - работает нормально, а вот определить на вшивость не хватает знаний =(

Залил сюда: http://multi-up.com/725528

| Сообщение посчитали полезным:

Скорее всего человек, накодивший сие творение покрыл его каким-то криптором, который не любят аверы. Ничего вредоносного в действиях этого семпла я не заметил. В интернет не лезет, никуда не инжектится, в реестре ничего критичного не меняет, по крайней мере вначеле. Написан на дельфи. Если есть подозрение, что эта вещь выполняет вредоносные действия именно в ходе работы с iPoker, а не вначале, то можете поизучать под олькой с фантомом. Еще и аверы, которые палят достаточно второсортные. Касперыч, кстати, тоже отстой. А вот то, что MSE молчит это уже показатель. Возможно еще, что аверы палят антиотладочные фишки.

| Сообщение посчитали полезным:

Парни, а кто умеет самостоятельно вирус исследовать на Soft ICE?

| Сообщение посчитали полезным: