Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Зачем тебе айс? Он давно не поддерживается

| Сообщение посчитали полезным:

я хочу вирь исследовать самостоятельно. он известный. хочу принцип работы понять.

какой софт рекомендуете для работы?
еще вирь запакован аспаком и ждпаком. как их распаковать лучше? и есть ли опыт у кого какой в этом вопросе?

вышлю файл, если кто может помочь.

| Сообщение посчитали полезным:

vladimir070707

распакованный

пароль: malware

cf75_14.07.2012_EXELAB.rU.tgz - unpacked.rar

| Сообщение посчитали полезным:

OllyDbg и не мучайся, ведь айс он для отладки драйверов ещё нужен

| Сообщение посчитали полезным:

а как в Olly поставить брейкпойнт на нужную мне функцию?

| Сообщение посчитали полезным:

F2 или bp Имя Апи функции или адрес

| Сообщение посчитали полезным: vladimir070707

Вот, посмотри иоё творчество
http://www.youtube.com/watch?v=7fzAGZbySIw&feature=g-upl
Все никак не добью

| Сообщение посчитали полезным:

Как мне сломать пентагон? В ворде печатать уже умею.
vladimir070707
Тренируйся на чем-нибудь безобидном, пока бряки ставить не научишься.

| Сообщение посчитали полезным:

yashechka, а является ли main() точкой вхождения?

| Сообщение посчитали полезным:

Vovan666, спасибо большое. но мне это надо за 2 дня освоить ) было бы проще у знающих людей поинтересоваться, а начитаться и практики набраться я не успею.

вот у меня есть начальный адрес функции main() вируса, название её, но в распакованной версии.
как мне брейкпойнт поставить на ней в olly, чтобы останов был на ней после распаковки? Vovan666 можешь подсказать?

bp "название" - не пашет, говорит неизвестный идентификатор, main() тоже не хочет

| Сообщение посчитали полезным:

Ставь хардварные на адрес

-----
старый пень

| Сообщение посчитали полезным:

какой ещё main() main() Это в си для консоли, стартовая функция, точка входа, в откомпиленном exe её можеш не искать, ты что? А если вирус на дельфи написан ты что будешь искать ? За 2 дня? Ты что люди годами учаться. Тем более файл запакован

| Сообщение посчитали полезным:

Если вирус твой, то можеш написать так
_asm{
int 3;
}
Отладчик сам остановится.
Скажи лучше что ты пытаешся сделать?

| Сообщение посчитали полезным:

r_e пишет:
Ставь хардварные на адрес
Зачем? Их не видно во вкладке.

| Сообщение посчитали полезным:

насколько я знаю, файл распаковывается при запуске, затем на выполнение идет распакованный код программы. так вот я хочу на начале программы(то есть после распаковки), для мониторинга операций.

r_e, спасибо! я нашел только hardware, to execution. может смотрел не туда.

yashechka, да, я тупанул. а адрес то начальной функции прокатит? просто GMax мне его распаковал, я его в IDA копаю, алгоритмы более-менее ясные, а вот как останов сделать на адрес...

| Сообщение посчитали полезным:

yashechka я хочу посмотреть поведение виря онлайн )

| Сообщение посчитали полезным:

vladimir070707 пишет:
я хочу посмотреть поведение виря онлайн )

когда есть распакованный все проще
поставь хардварный бряк на реальную точку входа (в этом случаи 0040B753)
или на API вблизи него (в этом случаи на GetVersion например)

а если поправить в распакованном файле поле Size of Image на 00041000 то можно исследовать сразу его

| Сообщение посчитали полезным: vladimir070707

"hardware, to execution" это то что надо.
У тебя есть сдампленный бинарь, определяешь в нем ОЕП (или близкое к ОЕП место, если ОЕП сперт). Загружаешь в олю, ставишь hwbpe на это место, запускаешь...

-----
старый пень

| Сообщение посчитали полезным: vladimir070707

GMax, а как ты узнал реальную точку входа?

| Сообщение посчитали полезным:

4

| Сообщение посчитали полезным:

GMax ты гений ))) можешь сказать откуда ты узнал OEP и про поле заголовка?

| Сообщение посчитали полезным:

vladimir070707 Наверно он не задает элементарные вопросы, а читает еще

| Сообщение посчитали полезным:

Некоторые посты выпилил. Часть, скрепя сердце оставил, хотя надо бы выпилить и их.
Завязывайте писать не по теме, тут исследование вирусни, а не опросник, как ставить бряк.
Иди и статьи читай, если бряк ставить не умеешь. А что за 2 дня надо, я тоже, может, китайский хочу выучить часа за полтора, но вот только в жизни не всё так радужно.

| Сообщение посчитали полезным:

Добрый день!

1)Просьба иследовать ложное срабатывание или нет
2)Аномалий нет
3)http://rghost.ru/39736210
4)Онлайн проверка показала: https://www.virustotal.com/file/fc2d1a1bc659b944b72cb664f72a74f06f22c55e811390b68b6792d362181cb1/analysis/

| Сообщение посчитали полезным:

stabud
Похоже на плохо очищенный файл каким-то антивирусом, т.е. секция от вируса осталась, но она пустая.

| Сообщение посчитали полезным: stabud

Похоже на плохо очищенный файл каким-то антивирусом, т.е. секция от вируса осталась, но она пустая.

Могло ли это быть неумелой ручной попыткой уменьшить размер файла за счет отрезания какой либо "ненужной" секции, созданной по умолчанию компилятором?

| Сообщение посчитали полезным:

Нет, лишняя секция добавлена, а не убрана.

| Сообщение посчитали полезным:

stabud пишет:
Могло ли это быть неумелой ручной попыткой уменьшить размер файла за счет отрезания какой либо "ненужной" секции, созданной по умолчанию компилятором?

в конец секции ресурсов добавлен код virut-а. точка входа исправлена, но код не вырезан по нему и палится

исправленный в атаче

c16e_12.08.2012_EXELAB.rU.tgz - GFB clear.rar

| Сообщение посчитали полезным: stabud

приветствую!
прошу помощи исследования Гауса ,скачал отсюда сэмпл http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1796 ,там в папке DLL разные
с помощью dumpbin.exe я посмотрел какие функции есть
вот они:
refreshdev
createentry
initcache
revertcache
vaidateentry
initshellex
setwindowevent
shellnotifyuser
shellnotifyuserex
dllregisterserver
globaldeleteatoml

меня интересует функция когда гаус пишет файлы на внешнию флешку Касперксие говорят что делает функция revertcache
вот что пишет Касперский : (http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution?print_mode=1)
Dskapi.ocx

Name of the module used in Gauss: 'Godel' or 'Kurt'.
Creates events: '{12258790-A76B}', 'Global\RasSrvReady'

All functionality is implemented in 'RevertCache' export. The module starts its main thread and then returns. The main thread waits for the '{12258790-A76B}' event and continuously checks for the presence of anti-malware software.

'ValidateEntry' signals the '{12258790-A76B}' event, allowing for the main thread to work for 3 seconds before terminating it.

Writes log file: %temp%\~gdl.tmp

The log file entries are compressed with Zlib.

Reads registry key HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum Checks for running anti-malware products by names and exits if they are present
t also exits if started on Windows 7 SP 1.

By querying disk enum in registry, it also tries to identify whether the storage is USB-connected or not by searching 'USBSTOR' string in their information.

When a drive contains '.thumbs.db' file, its contents are read and checked for the valid magic number 0xEB397F2B. If it matches, the module creates %commonprogramfiles%\system\wabdat.dat and writes the data to this file, and then deletes '.thumbs.db'.

Then, it infects the USB drives by creating directories with the names .Backup0[D-M] and .Backup00[D-M]

я хочу заразить свою флеху не не получается,я пишу в коммандной строке "rundll32 gaus.dll ,RevertCache" но ничего не происходит,как запустить этот троян ?
заранее спасибо

| Сообщение посчитали полезным:

1 Узнать что творит эксешник появившийся в программных файлах, и для чего там-же текстовый файл с одной записью - 18

2 Блокировка доступа на сайты однокл., вконтакте.

3 rghost.ru/39785919 (пароль virus) в архиве лжекряк и папка g1.

4 После запуска лжекряка открылась картинка(неприличного содержания). В программных файлах обнаружил папку -g1 с четырьмя файлами:картинка, батник блокирующий сайты путем добавления записей в hosts, текстовый файл и эксешник. Первые два свою работу сделали, проявили себя,не будем на них внимания обращать. А вот испоняемый файл ни чем себя не проявляет, но ведь чем тоже он занимается. Аваст ругается вирусная угроза.

| Сообщение посчитали полезным: