Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

 Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 15 августа 2012 02:00
· Личное сообщение · #2

Xakas пишет:
А вот испоняемый файл ни чем себя не проявляет, но ведь чем тоже он занимается
Вероятнее всего даунлоадер, стучит сюда http://94.249.188.62:45612/stat/tuk/18

-----
Nulla aetas ad discendum sera

Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 26 августа 2012 14:39
· Личное сообщение · #3

Привет всем.

Из китая покупал видеорегистратор и там был архив: 更新时间工具 (ХЗ что это значит)
И внитри 2 файла, txt и exe.
Ну у txt ничего не понятно, тоже на китайском. а вот exe называется WriteTime.exe, думал утилита для настройки времени на регистраторе (там показывает 2007г, и не имеет возможности из интерфейса настроить)
Но почему то ПО вызвал подозрение... а именно что подписан под microsoft. Все же решил проверить на вирустотале:
https://www.virustotal.com/file/b2ecff39e90b9f145fc202f7a837d66bc1973991b47ad518d15ac49fd5751668/analysis/1345976861/
Detection ratio: 23 / 42

комментарий уже излишние как бы
Но хотел узнать точно что это за зверь ? склеен вирус с нужным ПО или там голый троян просто?
файл укрепил в архиве, с паролем "virus"


a645_26.08.2012_EXELAB.rU.tgz - WriteTime.rar



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 26 августа 2012 15:19
· Личное сообщение · #4

Contrafack
Вроде чистый. Но там все-равно все по китайски, без переводчика не разобрать.
Contrafack пишет:
Но почему то ПО вызвал подозрение... а именно что подписан под microsoft.
Не подписан, а просто в ресурсах так написали, ничего страшного.

| Сообщение посчитали полезным: ClockMan, Contrafack

Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 26 августа 2012 15:56
· Личное сообщение · #5

Vovan666

Ну тогда вышлю файл лабораторию Eset NOD32 (у меня ихний антивирус), скажу, что ложное срабатывание.



Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 27 августа 2012 22:26
· Личное сообщение · #6

Сделал запрос: выслал файл, как они хотели и вот что ответили:
Code:
  1. Здравствуйте.
  2.  
  3. 60 27.08.2012
  4.  
  5. Файл действительно является ведоносным и обнаруживается с версией базы данных № 7421
  6.  
  7. Ваше обращение № 677048 закрыто.


И хрен поймешь кто прав а кто нет )))))))
что посоветуйте делать ?



Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 27 августа 2012 22:34
· Личное сообщение · #7

Смотрел я его, тоже не нашел ничего подозрительного, и уж тем более напоминающее QQPass. Наглядное подтверждение тому, что некоторые АВ любят тырить детекты у других компаний))



Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 27 августа 2012 23:24
· Личное сообщение · #8

Veliant

я когда то сними воевал по этому поводу.
я им выслал winLocker (как потом оказался) , а они мне линк дали на вирустотал, типа все чист. потом выслал в Dr. web, там сказали спасибо, это winlocker )))))) и уже после недели на вирустотале все начали палиться.



Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 29 августа 2012 16:05
· Личное сообщение · #9

цирк продолжается!
после долгих споров с горе-аналитиками, сегодня получил такое письмо:
Code:
  1. Приносим свои извинения. Данное срабатывание является ложным. Разработчик четко указал это в недавнем письме. При следующем обновлении данная ошибка будет исправлена.

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 29 августа 2012 16:28 · Поправил: Vovan666
· Личное сообщение · #10

Contrafack пишет:
Данное срабатывание является ложным. Разработчик четко указал это в недавнем письме.
Т.е. вирусописателю приходит письмо от нода, типа:
Здравствуйте.
А ваша программа это вирус?

на что вирусописатель отвечает:
Нет.
----------
Ну хорошо, тогда мы удалим ее из базы.


Contrafack
Программа-то для того что нужно?

| Сообщение посчитали полезным: DimitarSerg

Ранг: 11.5 (новичок)
Активность: 0.01=0.01
Статус: Участник

 Создано: 29 августа 2012 18:41
· Личное сообщение · #11

Кейлоггер, не ловится
http://www.mediafire.com/?h9i9dhcnahdw49j
куда он отправляет стыренные данные?



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 29 августа 2012 23:36 · Поправил: GMax
· Личное сообщение · #12

DeeDee пишет:
куда он отправляет стыренные данные?

распакованный:
http://rghost.ru/40084663
pw: malware

hxxp://174.138.160.18/
hxxp://184.171.161.134/getme.php?u=sakkan



Ранг: 9.5 (гость)
Активность: 0.010
Статус: Участник

 Создано: 01 сентября 2012 08:33 · Поправил: geograph
· Личное сообщение · #13

Поймал вирус, который распространялся в виде кряка, подумал - антивирус всегда кричит на кряки и отключил его

Хотел бы узнать отправляет ли он пароли своему хозяину, распаковывает ли в систему еще какие-то файлы, которые я не нашел (dll или какой-нибудь драйвер)
http://rghost.ru/40130163
пароль: malware

Определился антивирусом как multidrop (снаружи просто мультидроп, внутренний файл не проверял) Написан на VB, при запуске распаковывает в папку %temp% текстовый файл userid.txt и exe-шник (Crack connection вроде).

Потом, видимо, распакованный exe копирует себя в папку system32 (или syswow64 если система 64-бит) msdsc\msdsc.exe и в папку %appdata% 2 файла (скачивает или распаковывает, потому что это какие-то другие файлы, не определяются антивирусом) installing\msdll.exe и InstallDir\mswindows.exe.

Там же в %appdata% создается файл (возможно собранные в системе пароли) %username% - trial version*.* (расширение вроде dat было, но точно не помню). В %temp% появляются файлы %username%%num% (типа User1, User2) в котором записано время.

Инжектируется в новые процессы, в диспетчере задач не виден. В реестре создается много ключей на запуск всех этих файлов. Удаляемые ключи и файлы восстанавливает.

P.S.: извиняюсь за сумбурное описание название файлов может где немного спутал, писал по памяти.



Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 01 сентября 2012 11:45 · Поправил: F_a_u_s_t
· Личное сообщение · #14

geograph
Никуда, ничего не шлет, весь функционал сводится:
Code:
  1. Private Declare Sub NtUnmapViewOfSection Lib "NTDLL"()
  2. 'VA: 40610C
  3. Private Declare Sub ResumeThread Lib "KERNEL32"()
  4. 'VA: 4060C4
  5. Private Declare Sub GetThreadContext Lib "KERNEL32"()
  6. 'VA: 406074
  7. Private Declare Sub VirtualAllocEx Lib "KERNEL32"()
  8. 'VA: 40602C
  9. Private Declare Sub CreateProcessA Lib "KERNEL32"()
  10. 'VA: 405FE4
  11. Private Declare Sub SetThreadContext Lib "KERNEL32"()
  12. 'VA: 405F80
  13. Private Declare Sub WriteProcessMemory Lib "KERNEL32"()
  14. 'VA: 405EE0
  15. Private Declare Function GetModuleFileName Lib "kernel32" Alias "GetModuleFileNameA" (ByVal hModule As Long, ByVal lpFileName As String, ByVal nSize As Long) As Long
  16. 'VA: 404D68
  17. Private Declare Function WinHelp Lib "user32" Alias "WinHelpA" (ByVal hwnd As Long, ByVal lpHelpFile As String, ByVal wCommand As Long, ByVal dwData As Long) As Long
  18. 'VA: 404D24
  19. Private Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long

Ну а чего еще ожидать от подделки на vb.
Забыл список файлов:
Code:
  1. CRACK_CONNECTION.EXE
  2. CRACK_CONNECTION_2.EXE
  3. CRACK_CONNECTION_3.EXE
  4. USERID.TXT
  5. DROPIN.txt

На дроппере ставь бряк на ShellExecute, когда сработает иди в папку Temp и забирай дропнутые файлы.

| Сообщение посчитали полезным: geograph

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 01 сентября 2012 12:00
· Личное сообщение · #15

geograph пишет:
Хотел бы узнать отправляет ли он пароли своему хозяину, распаковывает ли в систему еще какие-то файлы, которые я не нашел (dll или какой-нибудь драйвер)

В ресурсах три не зашифрованных экзешника:

CRACK CONNECTION.EXE
virustotal.com
распакованный
http://rghost.ru/40131564

CRACK CONNECTION 2.EXE
virustotal.com
распакованный
http://rghost.ru/40131570

CRACK CONNECTION 3.EXE
virustotal.com
распакованный
http://rghost.ru/40131575

шлет сюда spyhacking.no-ip.org

| Сообщение посчитали полезным: geograph

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 02 сентября 2012 12:31
· Личное сообщение · #16

GMax
Ты прав, вчера в статике глянул по быстрому и не увидел работу с сетью.



Ранг: 2.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 18 сентября 2012 04:12 · Поправил: dever
· Личное сообщение · #17

Dr.web постоянно помещает в карантин установочный файл Dr.web.exe
пишет что Trojan.FakeAV.10902
--> Link <--
как такое возможно?
(ставить не пробовал )

PS Не стерпел попробовал - это архив хотя на распакованые файлы Dr.web не реагирует




Ранг: 158.5 (ветеран), 219thx
Активность: 0.120.01
Статус: Участник

 Создано: 18 сентября 2012 08:43 · Поправил: ZaZa
· Личное сообщение · #18

dever пишет:
пишет что Trojan.FakeAV.10902
Попробую расшифровать: Троян.ФальшивыйАнтивирус.10902 (читать --> ЗДЕСЬ <--)

Где качал сие чудо? Я так понимаю с неофициального сайта? Вот тут точно нормально должно быть: --> Link <--

-----
One death is a tragedy, one million is a statistic.

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 18 сентября 2012 10:54
· Личное сообщение · #19

dever
Это качалка ключей, в нутри exe файла (в оверлее) зип архив,
Из текстовика внутри:
Code:
  1. Dr.Web 7 by HA3APET v3 - это полноценный антивирус Dr.Web Security Space с альтернативным обновлением.
  2. Принцип обновления: антивирус работает через стандартный, бесплатный ОЕМ ключ, не нарушающий авторские права,
  3. но во время обновления качается последний журнальный ключ и подсовывается антивирусу, затем возвращается ОЕМ.
  4.  
  5. !install.bat - основной батник. Добавляет сайты ключей в исключения, создаёт задание на обновление антивируса,
  6. качает при необходимости антивирус и запускает его стандартную установку с выбором компонентов*.
  7. !uninstall.bat - запускает стандартную деинсталляцию Dr.Web и удаляет задание на обновление антивируса.
  8.  
  9. plus
  10. !download_key.bat - просто скачивает последний журнальный ключ и помещает рядом с батником.
  11. !update_key.bat - качает из Интернета последний журнальный ключ и помещает его в установленный Dr.Web.
  12. !add_scheduler.bat - добавляет !update_key.bat в системный планировщик. Если запустить при установленной сборке, то не будет использоваться OEM ключ**.
  13. !del_scheduler.bat - отмена !add_scheduler.bat и/или задания созданного файлом !install.bat.
  14. !cureit.bat - скачивает и запускает самый последний Dr.Web CureIt! (портативный сканер).
  15. !drw_remover.bat - скачивает и запускает утилиту удаления продуктов Dr.Web.
  16. !drweb_liveusb.bat - скачивает и запускает Dr.Web LiveUSB.
  17. !manual.bat - скачивает руководство пользователя к Dr.Web Security Space 
  18.  
  19. Примечание:
  20. *  Ключи запуска для !install.bat /L1049 //V"/qn INSTALL_FIREWALL=0" - тихая установка русской версии без Брандмауэра и перезагрузки. /qb! вместо /qn - c прогресс баром
  21. *  После запуска !install.bat/!add_scheduler.bat, папка сборки становится рабочей папкой по обновлению антивируса, удалять/перемещать её нельзя.
  22. *  Запускать с правами Администратора
  23. ** Не рекомендуется, если нет постоянного выхода в интернет, так как журнальные ключи очень короткие по сроку действия.
  24.  
  25.  
  26. ---
  27. Автор HA3APET.
  28. Спасибо Pasha_ZZZ (ru-board.com), а также сайтам yootoo.ru, sts.ssti.ru и drweb-m.ru.

Ранг: 11.4 (новичок), 29thx
Активность: 0.010
Статус: Участник

 Создано: 27 сентября 2012 16:30
· Личное сообщение · #20

1. Нужно описание действий вируса, так все компы в сети походу под ним
2. Аномалий нет.
3. http://zalil.ru/33793676, пароль "Natik" В архиве оригинальный файл и после заражения
4. 26.09 (вчера) обновился Нод. Сразу начал ругаться на exe файлы. Типа win32/Leprum. ДрВеб молчит. В инете инфы 0.
Получается, что эта фигня дописывает себя в конец файла (последнюю секцию), меняет ОЕР программы, записывая свой загрузчик, оригинальный старый код затирается, хотя работает нормально. Размер увеличивается по разному в пределах 30 кб. Пока все.



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 28 сентября 2012 00:09
· Личное сообщение · #21

Virus.Win32.Lamer.ep
www.virustotal.com
название говорит само за себя
действия можно в логах посмотреть -- malwr.com




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 28 сентября 2012 02:43
· Личное сообщение · #22

Natik пишет:
Получается, что эта фигня дописывает себя в конец файла (последнюю секцию),
Как раз наоборот,записывает код программы в конец файла,а заместо оригинального кода пишется вирусня.(Обманывают часть эвристики антивируса).

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Ранг: 2.0 (гость)
Активность: 0.010
Статус: Участник

 Создано: 05 октября 2012 12:31 · Поправил: SGA
· Личное сообщение · #23

Попался сэмпл winlock_mbr
Может кому нужен в коллекцию.


anubis sandbox
virus total 3/43

rghost
pas - "virus"



Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

 Создано: 05 октября 2012 23:47
· Личное сообщение · #24

Давно не было на кряклабе(простите, экзелабе).

Чуть меньше половины сообщений темы меня возмутили.
Хочу высказаться по этой теме по поводу ее дальнейшего развития, если модераторы мои аргументы сочтут корректными и правильными, то возможно нужно будет перенести в шапку:

Этот сайт создавался для ресечеров! Для развития их навыков, для общения между ними, чтобы они могли делиться опытом. C англ. "research" на рус. "исследование". Более половины сообщений в этой теме говорит о том что писавшие их совсем не читали п.2 и п.4 в шапке темы!

Пример:
Ув. Contrafack пишет:
Code:
  1. Но хотел узнать точно что это за зверь ? склеен вирус с нужным ПО или там голый троян просто? 
  2. файл укрепил в архиве, с паролем "virus"


Где тут хоть какие-то попытки достичь результата самому? Я не вижу чтобы тут пахло хоть какими-то телодвижениями в сторону ресеча!

В общем:
Почему Вам так лениво проанализировать имеющуюся у Вас ситуацию? Ведь можно ведь запустить диспетчер задач. Можно посмотреть строки в файле поискать там web-адреса, ip-адреса и др. интересные вещи. Можно запустить файл в виртуальной машине и поглядеть к чему это приведет. Можно сделать бэкап жесткого к примеру с помощью халявной тулзы clonezilla и запустить файл на реальной машине. Можно запустить тулзы из набора SysInternals Suite.

Лень конечно хорошая штука, но ведь надо этой хорошей штукой пользоваться там где надо!!!

-----
My love is very cool girl.

| Сообщение посчитали полезным: Veliant

Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 21 октября 2012 21:42
· Личное сообщение · #25

Посмотрите пожалуйста что за зверь?
интересует функционал, т.е. что делает?
Вроде очень давно (около 2 года, если верить свойству), но при этом NOD32 молчал до сих пор
Особо интересует - там есть запрос на IP адрес: 66.240.223.130 TCP 62 simctlp ?

пароль на архив: virus


3e8e_21.10.2012_EXELAB.rU.tgz - msyazmuhx.rar



Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 21 октября 2012 21:54
· Личное сообщение · #26

О, пытался удалить, а выдает сообщение, что занят программой:
C:\WINDOWS\system32\wuauclt.exe
Эта программа не имеет ярлыка как бы, и насколько я знаю - это утилита для обновления винды вроде?
а рядом файл еще: wuauclt1.exe , и с ярлыком от windows update..
я так понял wuauclt.exe фиктивный апдейтер, котоый и грузил этот вирус , который я постил первом?
Хотя служба обновлений отключен уже 2 года.
этот wuauclt.exe и wuauclt1.exe проверил на virustotal - Detection ratio: 0 / 44 , чисто.
Но навсякий укрепляю и этот wuauclt.exe , с паролем virus. мало ли лоадер подставной.


a8eb_21.10.2012_EXELAB.rU.tgz - wuauclt.rar



Ранг: 20.8 (новичок), 7thx
Активность: 0.010.02
Статус: Участник

 Создано: 22 октября 2012 00:42 · Поправил: int_256
· Личное сообщение · #27

Contrafack пишет:
Но навсякий укрепляю и этот wuauclt.exe , с паролем virus. мало ли лоадер подставной.
Бл* там же цифровая подпись валидная на файле, нахера это постить, если ваще не шаришь?

| Сообщение посчитали полезным: sys_dev

Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 22 октября 2012 01:32
· Личное сообщение · #28

int_256

Это ты не шаришь ! в наше время даже ДНК подделывают, а ты тут "цифровая подпись"




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 22 октября 2012 01:34 · Поправил: DimitarSerg
· Личное сообщение · #29

Contrafack пишет:
3e8e_21.10.2012_EXELAB.rU.tgz - msyazmuhx.rar

Бэкдор, как я понял

Копирует себя в C:\Documents and Settings\All Users\svchost.exe

Прописывается в автозагрузку: machine\software\microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched = C:\Documents and Settings\All Users\svchost.exe

Цепляется и прослушивает порт: 8000

Вот лог:
Code:
  1. Executing: c:\msyazmuhx.exe
  2. LoadLibrary(advapi32.dll) [c:\msyazmuhx.exe]
  3. LoadLibrary(gdi32.dll) [c:\msyazmuhx.exe]
  4. LoadLibrary(kernel32.dll) [c:\msyazmuhx.exe]
  5. LoadLibrary(msvcp60.dll) [c:\msyazmuhx.exe]
  6. LoadLibrary(msvcrt.dll) [c:\msyazmuhx.exe]
  7. LoadLibrary(netapi32.dll) [c:\msyazmuhx.exe]
  8. LoadLibrary(ntdll.dll) [c:\msyazmuhx.exe]
  9. LoadLibrary(ole32.dll) [c:\msyazmuhx.exe]
  10. LoadLibrary(shell32.dll) [c:\msyazmuhx.exe]
  11. LoadLibrary(shlwapi.dll) [c:\msyazmuhx.exe]
  12. LoadLibrary(user32.dll) [c:\msyazmuhx.exe]
  13. LoadLibrary(winsta.dll) [c:\msyazmuhx.exe]
  14. LoadLibrary(winmm.dll) [c:\msyazmuhx.exe]
  15. GetModuleHandle(lz32.dll) [c:\msyazmuhx.exe]
  16. LoadLibrary(lz32.dll) [c:\msyazmuhx.exe]
  17. GetModuleHandle(kernel32.dll) [c:\msyazmuhx.exe]
  18. VirtualQueryEx(c:\msyazmuhx.exe) [c:\msyazmuhx.exe]
  19. GetModuleHandle(Kernel32) [c:\msyazmuhx.exe]
  20. LoadLibrary(comctl32.dll) [c:\msyazmuhx.exe]
  21. SystemParametersInfo(SPI_GETWHEELSCROLLLINES,0) [c:\msyazmuhx.exe]
  22. SystemParametersInfo(SPI_GETDRAGFULLWINDOWS,4) [c:\msyazmuhx.exe]
  23. SystemParametersInfo(SPI_GETHIGHCONTRAST,12) [c:\msyazmuhx.exe]
  24. OpenProcessToken(C:\msyazmuhx.exe) [c:\msyazmuhx.exe]
  25. SystemParametersInfo(SPI_GETNONCLIENTMETRICS,500) [c:\msyazmuhx.exe]
  26. SystemParametersInfo(SPI_GETMENUDROPALIGNMENT,0) [c:\msyazmuhx.exe]
  27. SystemParametersInfo(SPI_GETMOUSEHOVERTIME,0) [c:\msyazmuhx.exe]
  28. SystemParametersInfo(SPI_GETFLATMENU,0) [c:\msyazmuhx.exe]
  29. GetModuleHandle(LPK.DLL) [c:\msyazmuhx.exe]
  30. OpenProcess(msyazmuhx.exe) [c:\msyazmuhx.exe]
  31. GetModuleHandle(USER32) [c:\msyazmuhx.exe]
  32. LoadLibrary(imm32.dll) [c:\msyazmuhx.exe]
  33. CreateEvent(DINPUTWINMM) [c:\msyazmuhx.exe]
  34. FreeLibrary(C:\WINXP\system32\lz32.dll) [c:\msyazmuhx.exe]
  35. OpenSCManager(????,?????ywjVXMkww) [c:\msyazmuhx.exe]
  36. GetWindowTextLength() [c:\msyazmuhx.exe]
  37. GetModuleHandle(narcoanesthesia) [c:\msyazmuhx.exe]
  38. LoadLibrary(????????^????u??????????r???rjkqsue) [c:\msyazmuhx.exe]
  39. GetModuleHandle(????) [c:\msyazmuhx.exe]
  40. GetModuleHandle(quotationist) [c:\msyazmuhx.exe]
  41. AttachThreadInput() [c:\msyazmuhx.exe]
  42. OpenMutex(lol) [c:\msyazmuhx.exe]
  43. CreateToolhelp32Snapshot(TH32C2_SNAPPROCESS,0) [c:\msyazmuhx.exe]
  44. QuerySystemInformation() [c:\msyazmuhx.exe]
  45. lstrcmpi(System,explorer.exe) [c:\msyazmuhx.exe]
  46. lstrcmpi(smss.exe,explorer.exe) [c:\msyazmuhx.exe]
  47. lstrcmpi(csrss.exe,explorer.exe) [c:\msyazmuhx.exe]
  48. lstrcmpi(winlogon.exe,explorer.exe) [c:\msyazmuhx.exe]
  49. lstrcmpi(services.exe,explorer.exe) [c:\msyazmuhx.exe]
  50. lstrcmpi(lsass.exe,explorer.exe) [c:\msyazmuhx.exe]
  51. lstrcmpi(VBoxService.exe,explorer.exe) [c:\msyazmuhx.exe]
  52. LoadLibrary(ws2_32.dll) [c:\msyazmuhx.exe]
  53. LoadLibrary(ws2help.dll) [c:\msyazmuhx.exe]
  54. LoadLibrary(c:\winxp\system32\mswsock.dll) [c:\msyazmuhx.exe]
  55. LoadLibrary(mswsock.dll) [c:\msyazmuhx.exe]
  56. LoadLibrary(hnetcfg.dll) [c:\msyazmuhx.exe]
  57. LoadLibrary(rpcrt4.dll) [c:\msyazmuhx.exe]
  58. LoadLibrary(c:\winxp\system32\wshtcpip.dll) [c:\msyazmuhx.exe]
  59. LoadLibrary(wshtcpip.dll) [c:\msyazmuhx.exe]
  60. GetModuleHandle(ws2_32.dll) [c:\msyazmuhx.exe]
  61. bind(port=8000) [c:\msyazmuhx.exe]


Contrafack пишет:
a8eb_21.10.2012_EXELAB.rU.tgz - wuauclt.rar
Чистый. С цифровой подписью MS

-----
ds

| Сообщение посчитали полезным: Contrafack


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 22 октября 2012 19:55
· Личное сообщение · #30

DimitarSerg пишет:
Бэкдор, как я понял
Да, так и есть....

создает себя тут C:\Documents and Settings\All Users\svchost.exe
и прописывается в автозагрузку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

использует нетворк АПИ из
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\system32\mswsock.dll

и прослушивает 8000 порт

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: Contrafack

Ранг: 8.7 (гость)
Активность: 0.020
Статус: Участник

 Создано: 22 октября 2012 20:30
· Личное сообщение · #31

DimitarSerg
KingSise

Спасибо, в папке C:\Documents and Settings\All Users\ нет ничего вообще, он похожу создал папку эту а существующую переименовал на All Users.WINDOWS. сам этот вирус нашел случайно в папке:
C:\Documents and Settings\All Users.WINDOWS\Local Settings\Temp

А также в указанном ветке реестра чисто тоже. т.е. свои программы, нет ничего левого.


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати