Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

 Создано: 28 октября 2009 16:21 · Поправил: Модератор
· Личное сообщение · #1

Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

Ранг: 20.8 (новичок), 7thx
Активность: 0.010.02
Статус: Участник

 Создано: 22 октября 2012 20:44
· Личное сообщение · #2

Contrafack пишет:
Это ты не шаришь ! в наше время даже ДНК подделывают, а ты тут "цифровая подпись"

Чувак расчехлись для начала что такое --> эцп <--, а потом рассказывай сказки




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 23 октября 2012 09:45 · Поправил: Flint
· Личное сообщение · #3

Подделать можно, Satsura в ксакеп статью об этом писал. "Опасный двойник" - вроде так статья называлась.
Add: Нашел http://rghost.ru/41102583

-----
Nulla aetas ad discendum sera

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 23 октября 2012 09:58
· Личное сообщение · #4

Flint пишет:
Подделать можно, Satsura в ксакеп статью об этом писал. "Опасный двойник"
Сацура много чего писал.
Пусть подделает эцп на основе sha512.



Ранг: 23.5 (новичок), 5thx
Активность: 0.020
Статус: Участник

 Создано: 07 ноября 2012 00:37
· Личное сообщение · #5

1. Прошу помочь узнать - вирус или нет
2. не запускал
3. http://www.sendspace.com/file/qyfup0 Пароль virus
4. на вирустотале - 27/42 https://www.virustotal.com/file/846a2eb0885d869bbcb63574fa75f04c48d179859b7e50c4f9bc750d0b7c8773/analysis/




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 07 ноября 2012 00:59
· Личное сообщение · #6

tino, какой то большой вирус, еще и на делфях... с системой он точно ничего не делает, возможно фэйк, есть главная форма, не пустышка... Порога явно связана с платежными системами, возможно то что введешь, уйдет на лево....

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: tino


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 07 ноября 2012 09:51
· Личное сообщение · #7

Хрень какая-то, видимо для работы с дампами. PlasticCarderKit 2.0 Beta


-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: tino


Ранг: 88.2 (постоянный), 111thx
Активность: 0.070.01
Статус: Участник

 Создано: 07 ноября 2012 11:44
· Личное сообщение · #8

Для кардинга

| Сообщение посчитали полезным: tino


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

 Создано: 13 декабря 2012 11:29
· Личное сообщение · #9

Хелп....((((
Подхватил зверька, отловить не фортит.
При старте системы, запускает интернэт_браузер в фоновом режиме, прописует себя в реестре
\\Registry\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"C:\WINDOWS\system32\userinit.exe,,C:\Program Files (x86)\siaqlkqw\bordvkwn.exe"
Само файло мапит в:
1. C:\Program Files (x86)\siaqlkqw\bordvkwn.exe
2. C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bordvkwn.exe
3. На флешку в папку \RECYCLER
//погремуха по ходу рандомная
====
Покилял браузеры, вылечил командер и плагины 7z к нему.
А падла сидит где-то, цепляет все системные процессы из автозагрузки, дописывая к названию процесса ******mgr.exe
====
Файло приатачил, но с ним осторожно, через буфер лезит по системе....(((
====
Есть решения ???

8aea_13.12.2012_EXELAB.rU.tgz - RECYCLER.rar

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 13 декабря 2012 11:39 · Поправил: Veliant
· Личное сообщение · #10

Bronco пишет:
Подхватил зверька
Rmnet. Он все ехе заражает, иногда еще js/html. В mbr еще не мешает заглянуть




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

 Создано: 13 декабря 2012 16:33
· Личное сообщение · #11

Veliant пишет:
Rmnet
есть такое и довольно много оказалось...но файло в препе оссобую активность имеет (muldrop)
В общем фенькс за наводку...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

Ранг: 62.8 (постоянный), 11thx
Активность: 0.060
Статус: Участник

 Создано: 08 февраля 2013 00:43 · Поправил: Rockphorr
· Личное сообщение · #12

эту троянскую лошадь поймал на работе и обнаружил дома
если не жаль потратить время
1. куда устанавливается, решено DimitarSerg
2. что делает

f777_08.02.2013_EXELAB.rU.tgz - mcdna.rar

пасс 123

DimitarSerg если не секрет скажите чем анализируете из инструментов
и если не сложно будет -- кинтьте мне на почту идовскую базу с реверсом -- буду сам повышать свой уровень




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 08 февраля 2013 02:50 · Поправил: DimitarSerg
· Личное сообщение · #13

Rockphorr
Code:
  1. Created a mutex named: T\ds+10
  2. Created process: (null),svchost.exe,(null)
  3. Defined code injection in process: c:\winxp\system32\svchost.exe
  4. Defined file type created: C:\Documents and Settings\UserName\tnmok.exe
  5. Defined registry AutoStart location created or modified: machine\software\microsoft\Windows NT\CurrentVersion\Winlogon\Taskman = C:\Documents and Settings\UserName\tnmok.exe
  6. File copied itself
  7. Hide file from user: C:\Documents and Settings\UserName\tnmok.exe
  8. Used a pipe for inter-process communication


Вычищается видимо просто - правкой реестра и удалением файла, а вот что делает - пока не знаю, спать пора.

-----
ds


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 08 февраля 2013 12:44
· Личное сообщение · #14

Rockphorr это лог из Buster Sandbox Analyzer

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Rockphorr

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 08 февраля 2013 20:53
· Личное сообщение · #15

Rockphorr

Worm.Palevo

Code:
  1. slade.safehousenumber.com
  2. murik.portal-protection.net.ru
  3. world.rickstudio.ru
  4. banana.cocolands.su


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 29 марта 2013 13:42
· Личное сообщение · #16

Походу зловред, ссылка на скачивание: http://rghost.ru/44864543
Пароль "virus"

Пришел по почте, в зазиповонном архиве. В самом письме сопроводительный текст был что то типа "Вы не оплатили нушу эипл-хрень стоимостью 500 евро, будем подовать на вас в суд. Во вложении ваш счет и наши контактные данные."

Репорт анубиса: http://anubis.iseclab.org/?action=result&task_id=11f9752c84f9008b4a90e219d22027fa0&format=html


Размер зловреда 50 кб, написан на бэйсике. Есть 2 формы, у одной есть событие "onLoad". При запуске распаковывает что то в темп, назначение этого файлика мне определить не удалось.


код процедуры он лоад:

Code:
  1. Private Sub Form_Load() '4040C8
  2.   'Data Table: 403180
  3.   Dim var_8C As Long
  4.   Dim var_90 As Long
  5.   Dim var_F8 As Variant
  6.   Dim var_B4 As Long
  7.   Dim var_B8 As Long
  8.   loc_403F24: Do 'loop at: 403F74 какойто беспонтовый счетчик
  9.   loc_403F30: var_A4 = Me.Global.App
  10.   loc_403F50: var_88 = App.Title & var_88 & CStr(var_8C)
  11.   loc_403F68: var_8C = (var_8C + 1)
  12.   loc_403F74: Loop Until Not (var_8C <= &H2710) 'do at: 403F24
  13.   loc_403F77: Proc_1_1_403B38(var_8C)
  14.   loc_403FA5: Call Proc_0_2_403C04(MemVar_405020, 0, 0)
  15.   loc_403FAD: var_90 = var_C8
  16.   loc_403FC5: Me.Global.LoadResData "PACKAGE", 2, var_F8
  17.   loc_403FD7: var_94 = var_F8
  18.   loc_403FF6: Me.Global.LoadResData CVar("d" & "vc"), "ELE", var_10C  'Похоже это тот файлик что в темпе.
  19.   loc_404008: var_98 = var_10C
  20.   loc_404011: Proc_1_0_403D20(var_90, 0)
  21.   loc_404027: var_B4 = CallWindowProc(var_94(&H28), 0, var_C8, %x4, %x5)
  22.   loc_40403F: var_B8 = CallWindowProc(var_98(0), var_B4, %x3, %x4, %x5)
  23.   loc_40407B: Call Proc_0_2_403C04(MemVar_405020, var_B4, (UBound(var_94, 1) - &H27), var_B8)
  24.   loc_404080: Proc_1_2_404E0C((UBound(var_98, 1) + 1), var_11C)
  25.   loc_4040BF: Call Proc_0_2_403C04(MemVar_405020, var_90, CallWindowProc(var_94(&H28), var_B8, %x3, %x4, %x5), 0)
  26.   loc_4040C4: End
  27.   loc_4040C6: Exit Sub
  28. End Sub




в этой же форме есть еще процедура:

Code:
  1. Public Sub DearTiFotto() '403ED0
  2.   'Data Table: 403180
  3.   Dim var_A8 As Integer
  4.   Dim var_B8 As Integer
  5.   Dim var_124 As Double
  6.   loc_403D58: var_B8 = Abs(12)
  7.   loc_403D70: var_BC = MonthName
  8.   loc_403D84: var_B8 = Trim(vbNullString)
  9.   loc_403DA5: var_A8 = vbNullString
  10.   loc_403DAE: MSVBVM60.DLL.rtcCompareBstr
  11.   loc_403DCA: AppActivate(vbNullString, vbNullString)
  12.   loc_403DDC: var_A8 = FileDateTime(vbNullString)
  13.   loc_403DEC: var_B8 = Abs(13112)
  14.   loc_403E0F: var_11C = Partition(1, 1, 1, 1)  //что это?
  15.   loc_403E2F: var_B8 = RTrim(vbNullString)
  16.   loc_403E3B: Beep
  17.   loc_403E4E: var_B8 = LCase(vbNullString)
  18.   loc_403E62: var_B8 = Str(1)
  19.   loc_403E7C: CurDir vbNullString
  20.   loc_403E93: MIRR
  21.   loc_403E98: var_124 = var_88
  22.   loc_403EA2: NPV
  23.   loc_403EA7: var_124 = CDbl(1)
  24.   loc_403EAD: AscW(vbNullString)
  25.   loc_403EBB: var_124 = Sqr(CDbl(&H16))
  26.   loc_403EC1: ChDrive vbNullString
  27.   loc_403EC9: Asc(vbNullString)
  28.   loc_403ECE: Exit Sub
  29. End Sub




в другий форме все процедуры выглядят примерно вот так


Не могли бы знатоки бэйсика объяснить функционал данного зловреда?

-----
-=истина где-то рядом=-

Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 29 марта 2013 14:33 · Поправил: Veliant
· Личное сообщение · #17

это всего лишь дроппер. И не дробные числа это, а бинарный код, в том числе строки

Ну а ехе из ресурсов - trojan.matsnu




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

 Создано: 29 марта 2013 15:39
· Личное сообщение · #18

Veliant
можно как то сам ехе выдернуть? У меня он явно не исполняемый ПЕ получается... Или он как то в памяти расшировывается?

-----
-=истина где-то рядом=-


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 29 марта 2013 16:25
· Личное сообщение · #19

Сдампить можно моей поделкой http://exelab.ru/F/action=vthread&forum=3&topic=19213

Отстук на адреса:
Code:
  1. http://kcrio-oum.com/typo3.php
  2. http://porkystory.net/UTP402HEAD.php
  3. http://porkystory.net/forum.php
  4. http://porkysolderx.net/UTP402HEAD.php
  5. http://porkysolderxx.com/a.php
  6. http://uawxaeneh.com/incoming.php
  7. http://porkystory.net/UTP402HEAD.php
  8. http://openwebspace-apo.com/user-057708/forum.php
  9. http://aqzwzisx.com/a.php
  10. http://dhderz.com/a.php
  11. http://mbqczxrz.com/a.php
  12. http://pcviehppf.com/a.php
  13. http://nvufvwieg.com/a.php
  14. http://opapodkiu.com/odriw0/forum.php
  15. http://vgsdnvw.com/a.php
  16. http://hguupvsje.com/a.php
  17. http://aqzwzisxf.com/UTP402HEAD.php
  18. http://dhdefrz.com/UTP402HEAD.php
  19. http://mbqdczxrz.com/UTP402HEAD.php
  20. http://pcdviehppf.com/UTP402HEAD.php
  21. http://nvufvfwieg.com/UTP402HEAD.php
  22. http://vgsddnvw.com/UTP402HEAD.php
  23. http://hguudpvsje.com/UTP402HEAD.php


-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: KingSise

Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 30 марта 2013 19:08
· Личное сообщение · #20

KingSise пишет:
можно как то сам ехе выдернуть?

unpacked: http://rghost.ru/44900550




Ранг: 105.6 (ветеран), 36thx
Активность: 0.10
Статус: Участник

 Создано: 23 мая 2013 15:25
· Личное сообщение · #21

_http://name.gor984157484.info/antvrs/#
обычный сайт для развода лохов. Чем меня привлек он - это в Mozila самой последней(21.0), при открытии во вкладке, закрыть не дает совершенно, а если перенести его в отдельное окно, то закрывается без вопросов.

вот что вытащилось оттуда:
_http://name.gor984157484.info/antvrs/assets/upload/ARO2011_bt.exe
+ так как они все падки на деньги, то вскрытых input они делают типо _http://moipodpiski.ssl.mts.ru/lp/?SID=b8c6e52a-3194-4fbd-84c3-942adb592c05

зы с вирусами раньше дела не имел, но этот чет задел, и хочу на виртуалке сам покопать. Мб че интересное и найдется.



Ранг: 85.4 (постоянный), 51thx
Активность: 0.090
Статус: Участник

 Создано: 24 мая 2013 08:49
· Личное сообщение · #22

судя по названию ARO2011 это поддельный антивирус с партнерской программой behind

| Сообщение посчитали полезным: Dart Sergius

Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 28 июня 2013 12:44
· Личное сообщение · #23

Словил на днях вирус, не знаю как назвать добавляет постфикс .mboaue@yahoo.com_S8 портит все документы и картинки какие найдёт))) первые сообщения с мая, у меня 20000 ф. испортил. Портит примитивно хочу попытаться написать дешифратор готового решения нет, попробовал сам распаковать при помощи olly что то не получается, застопорился на таблице импорта смущает oep 10D8 ). Люди добрые помогите, пробел в знаниях большой(
архив с бякой пароль 123четыре5
http://zalil.ru/34610013




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 28 июня 2013 13:59 · Поправил: DimitarSerg
· Личное сообщение · #24

ilya38
С чего ОЕП смущает ? Всё верно, импорт чистенький получаешь, зверек на ВБ (пи-код) + файлик обфусцирован.

Вот тут была ссылка пихай в ВБ декомпилер и изучай.
Пасс такой же как у тебя.

-----
ds

Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 28 июня 2013 16:13
· Личное сообщение · #25

Спасибо, тебя опередили) посоветуй декомпилятор, мозги уже не те буду сидеть изучать..!



Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 28 июня 2013 22:25
· Личное сообщение · #26

Ковырял ковырял, открыл vbdecompiler pro, pdasm, там прошлись программкой которая перед компиляцией исходника првевращает функции в билеберду (c сайта comradex.co), единственно оставили одну как будто специально нетронутой наз LZCrypto(sString, sPass, bDecrypt) , в гугле нашёл с того же сайта из др. проекта, поставил vb6 проверил выдаёт ззакодированную строку (декодированную) в зависимости от параметра.
Code:
  1. Public Function LZCrypto(sString As String, sPass As String, Optional bDecrypt As Boolean) As String
  2.     Dim nString     As Long
  3.     Dim nPass       As Long
  4.     Dim I           As Integer
  5.     Dim J           As Integer
  6.     Dim sNew        As String
  7.     nString = Len(sString)
  8.     nPass = Len(sPass)
  9.     If bDecrypt Then GoTo Decrypt
  10.     For I = 1 To nString
  11.     If J < nPass Then J = J + 1 Else J = 1
  12.     sNew = sNew & Chr$(Asc(Mid$(sString, I, 1)) + Asc(Mid$(sPass, J, 1)))
  13.     Next
  14.     LZCrypto = sNew
  15.     Exit Function
  16. Decrypt:
  17.     For I = 1 To nString
  18.     If J < nPass Then J = J + 1 Else J = 1
  19.     sNew = sNew & Chr$(Asc(Mid$(sString, I, 1)) - Asc(Mid$(sPass, J, 1)))
  20.     Next
  21.     LZCrypto = sNew
  22. End Function


погонял вирус посмотрел работу скормил ему файл и расстроился шифрует он в разброс закономерность не нашёл, файл обычный текстовый с послд. 123456789 просто сменил расширение на doc, есть желание посмотреть под ollydbg но видимо стоит защита, и он вылетает в terminate AdvancedOlly не помог, давно очень ломал крякмис, ну и в асм листингах более менее ориентируюсь в последнее время php, помогите продвинутся.....

48b8_28.06.2013_EXELAB.rU.tgz - primanka.rar




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 28 июня 2013 23:53 · Поправил: DimitarSerg
· Личное сообщение · #27

Это случайно не о нём/его модификации речь ?
http://forum.krasmama.ru/viewtopic.php?t=518335&postdays=0&postorder=asc&start=15

Если так, и пишут правду, то там rsa и дела плохи.

p.s. Весело, у меня zip-архивы зашифровало, но хорошо что на виртуальной машине и в песочнице.

-----
ds

Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 июня 2013 09:33
· Личное сообщение · #28

Начало темы, правдивое а вот ответ фигня полнейшая шифрует он не так, там я думаю обратимое шифрование, к концу файла делается приписка _s8, _g100 и тд , был случай покупки декодера, сами пакостники говорят о том чтоб не переименовывали файл, и по запросу о том что это не развод они могут, расшифровать пробу, я думаю там особых проблем не должно делали школьники) хочу попытаться, как уже говорил время много пролетело, а так был частым посетителем wasm и cracklab выхода всё равно нет,
DimitarSerg сможешь снять защиту что под олей его погонять???? или кто нибудь другой если откликнится...



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 29 июня 2013 15:07 · Поправил: GMax
· Личное сообщение · #29

ilya38 пишет:
кто нибудь другой если откликнится...

VB это второй слой пакера
сам файл на делфях использует FGIntRSA (RSA-240)

http://zalil.ru/34611997
pas: malware

| Сообщение посчитали полезным: DimitarSerg


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 29 июня 2013 15:43
· Личное сообщение · #30

ilya38 пишет:
Начало темы, правдивое а вот ответ фигня полнейшая шифрует он не так, там я думаю обратимое шифрование
Естественно обратимое.

Глянул файл, который достал GMax, то что написано по ссылке, которую я давал все-таки правда, там RSA и дешифровать действительно реально, имея приватный ключ шифрования, для этого нужно для начал разложить (в вашем случае) число

438643076458764798830195775094806434934766240581417547599955378706556995970143445824315677665615413049516610800878866441478170216075766575901495916605831867916759184280384732204650120800699896690796083351919943768421172641313322106342508143

на 2 простых множителя. А это немного-немало 797бит (видимо не спроста выбрали > 768, так как учёные 768 разложили).

Поэтому беда - либо покупать (рискуя деньгами) либо попытаться что-то восстановить тулзами от касперычей/вебовцев и утратить большинство файлов.

-----
ds

Ранг: 1.8 (гость)
Активность: 0=0
Статус: Участник

 Создано: 30 июня 2013 20:43
· Личное сообщение · #31

эх блин я уже книжки от мамы 8летней давности привёз.... по асм, простите за невежество почему именно это число?


<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . >>
 eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати