В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Мне тоже такаяже херня пришла, дословный текст:
"Привет, как дела? посмотри за окно, такая красота! Листочки опадают, очень плавно переходит в зиму, я тут с подружкой в парке гуляла, фоток наделала. Подумала, что стоит тебе прислать, посмотри они в письме. На след выходных пойдешь с нами?"
Но я эксешник не открывал, а письмо сохранил, хотел посмотреть, что там внутри, да руки пока не доходят.

| Сообщение посчитали полезным:

Сюда приаттачить не получилось, поэтому он вотон
www.webfile.ru/1148568

| Сообщение посчитали полезным:

BishopPriest пишет:
и я всётаки заэкзечил эту фигню
это как понять?

| Сообщение посчитали полезным:

Ara пишет:
это как понять?

Я так понял, он его запустил, наверно думал там девки голые

| Сообщение посчитали полезным:

То NIKOLA - тоже самое приходило..... С адреса "kol@yahoo.com"
Файл пожат винупаком.....
Trojan-Downloader.Win32.Delf.awg
Троянская программа, загружающая из интернета другие вредоносные программы без ведома юзера.
Написана на Дельфине....



После запуска троянца создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом AVP.AlertDialog. Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью «П&ропустить» или с надписью «&Разрешить». Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по найденной кнопке.

Троянец определяет наличия в ключе [HKCU\Software\Microsoft\Windows] параметра с именем "m". Если такой параметр существует, то происходит завершение работы программы, иначе происходит создание этого параметра:
[HKCU\Software\Microsoft\Windows]
"m"="m"

После чего троянец производит запуск процесса с именем svchost.exe и внедрение в него кода, содержащего процедуру загрузки файлов.

После запуска этой процедуры происходит скачивание файлов, размещенных по следующим адресам:

* rikoger.com/lo***/1/1.exe (детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.awp)
* rikoger.com/lo***/2/2.exe (детектируется Антивирусом Касперского как Email-Worm.Win32.Scano.as)
* rikoger.com/lo***/3/3.exe (детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Xorpix.am)

И их сохранение в системе во временном каталоге Windows под следующими именами соответственно:

csrss.exe
lsass.exe
smss.exe

После загрузки троянец проверяет размер каждого загруженного файла: если он равен нулю, то производится повторная загрузка файла.

Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла («MZ»). Если такая сигнатура была найдена, то производится запуск сохраненного файла на исполнение.

-----
The blood swap....

| Сообщение посчитали полезным:

Ara пишет:
это как понять?
гг, запустил он его

| Сообщение посчитали полезным:

Johnson Finger

Ясно, тогда надо скачать эти файли и посмотреть, что в них.

| Сообщение посчитали полезным:

Ara

Пока не закрывай тему.

Меня осенило, хотелось бы спросить у остальных участников, комунибудь что-то подобное приходило на почту в последние месяца полторо или два?

| Сообщение посчитали полезным:

Мне это приходило, я его на куски разобрал, и те файлы 1.exe,2.exe,3.exe тоже разобрал. В общем первый (который приходит) качает эти 3, потом их запускает. Один взводит сервак и начинает рассылать такие посылки другим, один тырит пароли со всего что тока может + собирает всю инфу, какую может о железе и системе и отсылает на специальный аплоадер. Я даже хотел поспамить на этот аплоадер, у меня выделенка и исходящий бесплатный, но потом че то забыл.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Забыл, а последний инжектится в сисемный процесс и оттуда тоже чето делает уже не помню...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
один тырит пароли со всего что тока может

Похоже на пинча, только интересно третий или второй.
Я охочусь за третим.

По поводу моего вопроса, PE_Kill ты уже третий.
Меня терзают смутные сомнения что ты PE_Kill не последний.
Мысль улавливаите ?

| Сообщение посчитали полезным:

Касперский пишет:
Trojan-Downloader.Win32.Delf
Описание здесь:
www.viruslist.com/ru/viruses/encyclopedia?virusid=50033
Читай и наслаждайся.
Ничего там страшного нет. Рекомендации по удалению по той ссылке есть. Еще, всем советую поставить утилиту Winpatrol (http://www.winpatrol.com/), что б быть в курсе кто чего записывает в автозагрузку. Ну а про запуск подозрительных вложеных файлов я вообще молчу...

Для обратного включеня regedit сделай и запусти такой рег файл.
---------------------------------------------------------------------- -----------------------
Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="0"
---------------------------------------------------------------------- --------------------------
p.s. выложенный здесь троян я не смотрел, ибо запускать такое дома не хочу. А VMWare еще не ставил.

| Сообщение посчитали полезным:

NIKOLA пишет:
Мысль улавливаите ?

Мыслю неуловил ,но такое же приходило на джимейл (там оно его соотвественно покиляло и дало только чистый текст), вывод, юзать мыла нормальные.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

newborn пишет:
Мыслю неуловил

Ёпт, охламон который расылает эти письма, очень обижен на cracklab.

| Сообщение посчитали полезным:

Мне приходил пинч, я его перебил на своё мыло и поюзал немножко. Санни навесил на него какй-то прот, авири его больше не детектили

| Сообщение посчитали полезным:

NIKOLA ты не прав, всем моим друзьям, у кого есть мыло это приходило, а они очень далеки от кряка. Мне это приходило гдето месяц назад. Я же говорю, что один из exe взводит сервер и спамит с зараженной машины, так что cracklab тут не при чем.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Ну хз, кто-то все-таки мониторит форум. Разец Ms-Rem'у пришло письмо якобы от меня с какой-то тулзой. Есс-но там был засранчег.

| Сообщение посчитали полезным:

Возможно, но в данном случае я все же прав...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Прав PE_Kill
Просто введите в андексе мыл (kol@yahoo.com), откдуа все это дело приходит, и увидите результат.....

-----
The blood swap....

| Сообщение посчитали полезным:

cracklab тут не при чем ИМХО. Во-первых, мне на емайл ничего не приходило, а во-вторых моим знакомым - почти каждый получал такие подарки Там текст похожего содержания и файлик отдыхаю.ехе Кстати, про того, что производит запуск процесса svchost и запись в него кода уже писали в теме "обзор антивирусов". Еще приходил на почту кросавчег с драйвером M_HOOK.sys. В общем ничего интересного и необычного в них не оказалось, я их даже не стал разбирать, т.к. пробовал запускать и они ничего не смогли сделать

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
cracklab тут не при чем ИМХО
Не скажи... Когда приходит человеку письмо от ara псина cracklab ру - это стопудов целенаправленная акция.

| Сообщение посчитали полезным:

[удалил]

-----
Research is my purpose

| Сообщение посчитали полезным:

бугого

цитата:

практика показывает, что файлы бывают размером 10713, 11113, 11131 байт (два последних имеются в наличии). также я сделал вывод, что файлы получили только пользователи mail.ru, но не все (лично мне на пару ящиков не пришло), на ящики других почтовых серверов ничего не приходило.

Взято с virusinfo.info/showthread.php?t=5250&page=2

Какой-то малолетнийкулхацкер решил побаловаться, вывод один, не открывать подозрительных писем.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

seeq, пасиб тебе

| Сообщение посчитали полезным:

NIKOLA пишет:
Меня осенило, хотелось бы спросить у остальных участников, комунибудь что-то подобное приходило на почту в последние месяца полторо или два?

Да, мне приходило похожее с того же адреса. Но я писмо потёр, и NOD32'у сказал аттач почикать.

From: Сашка [kol@yahoo.com]
Subject: Как твое ничего?
Body:
Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?

В аттаче: "на море.exe" (Win32/TrojanDownloader.Delf.AJD)

| Сообщение посчитали полезным:

На яндекс мне приходило похожее, но атач обрезан был. А на почтуру приходило, тока там было типа, документы, которые я якобы просил - в архиве. Я посмотрел на лоадер, и фтопку. У меня нет тяги качать всякую дрянь. У меня и так архив с бацилами метров на 60 тянет.

ЗЫ. Не думал, что кто-то исчо на такой развод попадается. Об этом способе в Хакере писали году в 2000.

| Сообщение посчитали полезным:

Мне вот что прислали:
Win32.HLLM.MyDoom.based
Это опасный червь или так-фигня?

| Сообщение посчитали полезным:

Sergey Lossev А ты выложи - посмотрим

-----
Research is my purpose

| Сообщение посчитали полезным:

Ребята, а к чему такой шум?
Можно подумать, тут никто не знает, что запрочить любой вирь можно за полминуты. Причем отнюдь не прибегая к помощи приватных крипторов. Самыми что ни на есть публичными средствами, которые ВЕЗДЕ найти за пару минут можно. При этом горячая пятёрка самых известных аверов лажает по полной ну от самых дубовых примитивных крипторов.
Так что не надо делать паники из очевидных вещей.

| Сообщение посчитали полезным: