В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

хехе, ну наконец пришёл и мне первый трой

От кого: <support@webmoney.ru>
Тема: Пользователям WebMoney и Яндекс

в заголовке письма:

Reply-To: <terov34@gmail.com>
Received: from [81.176.66.242] (port=43815 helo=mail.maloletka.ru)
Received: from kas.udaff.com (localhost [127.0.0.1])
Received: from User (89-178-128-240.broadband.corbina.ru [89.178.128.240])

а атаче: Patch_3.0.1b.exe размер: 50176 байт. Пожат каким-то криптором (название хз),
много мусора в коде, но распаковывается элементарно... Дальше пока не копал

з.ыю может отписаться в корбину?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Провайдеру мало смысла писать, ему по сути выгодны протрояненые пользователи, поскольку плятят за траф больше. Пиши претензию на WMID, что указан в письме для перечисления вебшекеля. Если шлют в асю линк на скачку гамна - абузу хостеру, закроют быстро, т.к. у киддисов денег на абузоустойчивый хостинг нет.

| Сообщение посчитали полезным:

трой на вб) жесть... кошели говноаффтара:

Z171463274056
R927811800617
E243170703391
U751769444938

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
трой на вб) жесть...
ЫЫЫ! Он без ДЛЛ'ки не идёт!

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

Гг, не в тему, но: Мне сегодня с "моего" же адреса прислали спам =)))

| Сообщение посчитали полезным:

Shidla почемуж не в тему то? там и IP ваш новерное в сообщении вы часть ботнета наверняка уже :\\ спаменг шлете...

| Сообщение посчитали полезным:

На аську пришло (?) slil.ru/24392693

| Сообщение посчитали полезным:

addy одназначно заджойнено фрииджойнером с дамажлаба
щя скажу что в нутри...
в нутри какаято прога на VB под варькой вылетает с ошибкой мол нехватает файла и пинч 3 от ваське отчеты идут jimm.007ihost.com/gate/gate.php

| Сообщение посчитали полезным:

Пришло мне такое письмо с адреса bender-illus@ranetka.ru:

ПРОГРАММА ДЛЯ CКАЧИВАНИЯ SMS СООБЩЕНИЙ С ЧУЖОГО МОБИЛЬНОГО ТЕЛЕФОНА
НЕОБХОДИМО ПРОСТО ВВЕСТИ НОМЕР АБОНЕНТА И НАЖАТЬ В МЕНЮ КНОПКУ ПУСК,
ЧЕРЕЗ НЕСКОЛЬКО СЕКУНД ВЫ УВИДИТЕ ВСЕ СМС СООБЩЕНИЯ НУЖНОГО ВАМ АБОНЕНТА.
СКАЧАТЬ ДЕМО ВЕРСИЮ ПРОГРАММЫ SМS 3.2 РАСЧИТАННУЮ НА
50 БЕСПЛАТНЫХ СКАЧИВАНИЙ ВЫ МОЖЕТЕ НАЖАВ НА ЭТУ ССЫЛКУ - СКАЧАТЬ ПРОГРАММУ.
К МЕНЮ ПРОГРАММЫ НАХОДИТСЯ ПОДРОБНАЯ ИНСТРУКЦИЯ И КОНТАКТЫ ДЛЯ ПРИОБРЕТЕНИЯ.

Скачал я это вирус.
Результаты по virustotal.com:

AhnLab-V3 2007.5.31.2 06.05.2007 no virus found
AntiVir 7.4.0.32 06.05.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.05.2007 no virus found
AVG 7.5.0.467 06.05.2007 Generic4.RRB
BitDefender 7.2 06.05.2007 .GB Trojan.Obfuscated
CAT-QuickHeal 9.00 06.05.2007 Trojan.Agent.amr
ClamAV devel-20070416 06.05.2007 no virus found
DrWeb 4.33 06.05.2007 819 Trojan.Proxy.1
eSafe 7.0.15.0 06.05.2007 no virus found
eTrust-Vet 30.7.3693 06.05.2007 no virus found
Ewido 4.0 06.05.2007 Trojan.Agent.amr
FileAdvisor 1 06.05.2007 no virus found
Fortinet 2.85.0.0 06.05.2007 suspicious
F-Prot 4.3.2.48 06.05.2007 W32/Downloader2.GYG
F-Secure 6.70.13030.0 06.05.2007 Trojan.Win32.Agent.amr
Ikarus T3.1.1.8 06.05.2007 no virus found
Kaspersky 4.0.2.24 06.05.2007 Trojan.Win32.Agent.aьк
McAfee 5046 06.05.2007 no virus found
Microsoft 1.2503 06.05.2007 no virus found
NOD32v2 2310 06.05.2007 no virus found
Norman 5.80.02 06.05.2007 no virus found
Panda 9.0.0.4 06.05.2007 Trj/Agent.FMD
Prevx1 V2 06.05.2007 no virus found
Sophos 4.18.0 06.01.2007 Troj/Knockit-A
Sunbelt 2.2.907.0 06.04.2007 no virus found
Symantec 10 06.05.2007 no virus found

| Сообщение посчитали полезным:

Или вот, на ICQ пришло:

Запрос авторизации
Ты не мог бы заценить мои фотки?
Вот посмотри: www.sacasa.tv/Photo.scr
Хочу в конкурсе на самую красивую грудь поучавствовать и не знаю какую фотку................

| Сообщение посчитали полезным:

А есть какие-либо виды атак на ICQ номера, чтобы положить их?

Мне вообще такая байда пришла:

375491168 (22:21:28 5/06/2007)
Здарова ты видел что про тебя написали :-D
Это писец :-D
www.neshop.org

Rayzer (22:21:36 5/06/2007)
Запрос авторизации
А теперь посмотри на это www.neshop.org/index.php
И попробуй сказать что это не ты

-----
Research For Food

| Сообщение посчитали полезным:

addy вы давно небыле на аське своей чтоле? наш peid сказал Warning! may be SimbyOZ polycryptor by 3xpl01t ver 2.xx баян этот криптор палят все аверы сейчас... отчеты идут на гейт icqgin.h17.ru/pass/gate.php уведомления на tarttart@mail.ru кстате на этот мыл много шестизнаков привязано .
daFix вас спамит лоадер с самораспространением за 3к шекелей. линк на сплоент скорей всего MPACK :\\ ленива разберацо что он подгружает.

| Сообщение посчитали полезным:

интересно майл вообще абузы на такие мыла(от троев) принимает или им пофиг ??

| Сообщение посчитали полезным:

Red Bar0n пишет:
вы давно небыле на аське своей чтоле?

Сообщение висело на одной из моих даавно забытых асек.

А отправлено аффтором 195868, было -------- (22:18:35 2/03/2007)

| Сообщение посчитали полезным:

Red Bar0n
Смотрел аналогичного троянца. Юзает какую то отдельную либу для общения по асе. Грузит всякий мусор с инета и естественно последствия самые различные. При общении по асе настоящий юзвер выкидывается из аси, а за место него логиниться троянец и всем по контакт листу рассылает эту хренотень. Если в ответ народ будет писать типа ты заражен(а), то все сообщения придут троянцу, а ему похер

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вот недавно выловил. Как раскриптить. Алго подскажите. смотрел откуда выкачивает доп троя. не смог.

dfd8_06.06.2007_CRACKLAB.rU.tgz - 123

| Сообщение посчитали полезным:

Virgo
И чего там смотреть то? Функция декриптовки имеется. Весь текст при запуске сам декрептуется в переменную r и потом рисуется раскриптованый текст на странице с помощью document.write(r)

Самое простое посмотреть что внутри заменить document.write(r) на alert(r)
код не выполниться, но за то можно будет увидеть что получается после раскриптовки.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Ок. Пасиб. Все получилось. даже троя доп выкачал. в яве слаб пока.

| Сообщение посчитали полезным:

Люблю я наших мудаков и уродов! Веселят они меня!

Письмо на ящике в мэйле:

"Уважаемые пользователи сервисов mail.ru!
В нашем продукте Mail Agent найдена критическая уязвимость,позволяющая хакерам открыть полный доступ к вашему компьютеру через переполнение буфера.
Описание этой уязвимости находится на нашем сайте. Чтобы прикрыть эту уязвимость всем пользователям mail.ru было отослано лекарство к программе (его вы найдете во вложении письма).
Вам необходимо запустить этот патч. ПОВТОРЯЕМ: Уязвимость критическая."

Хорошие пидорки.... Патчик весит 33 кило, и содержит секции с веселыми именами: аpoly и аcryptox.
Не знал что админы мэйл.ру теперь криптуют свое детище Видимо чтобы не декомпилировал никто....
Прчем мыло с адреса "mail@mail.ru"... Научится бы так отправлять....

1b23_11.06.2007_CRACKLAB.rU.tgz - magent.rar

-----
The blood swap....

| Сообщение посчитали полезным:

Отправлять можно с любого адреса, это без проблем. Но можна пропасти по айпишнику smtp сервера, он в письме записывается.

| Сообщение посчитали полезным:

А, точно... Сейчас вспомнил чтог сам этим баловался одно время.... А IP засвечен.... Если Барончегу будет интересно, то вот он: 89.232.243.40....
И что-то мне подсказывает что это очередной гавнапинч.... И не оригинальная идея распространения как с критическими заплатками от мелкософта....

-----
The blood swap....

| Сообщение посчитали полезным:

Если у него мозги на месте, то это IP proxy-сервера, а не родной.

| Сообщение посчитали полезным:

Johnson Finger пишет:
1b23_11.06.2007_CRACKLAB.rU.tgz - magent.rar

аккаунт для подключения к смтп - erostext (mail.ru)
письма уходили на chikitos@bk.ru

все думаем как зовут собаку ;))

PS похоже на пинч3 опять стандартный набор мыло, ICQ ... ладно.... не судьбы ему больше отчеты получать )

| Сообщение посчитали полезным:

Адрес e-mail: chikitos@bk.ru
Дата рождения: 29 Января
Домашняя страничка: nex-website.narod.ru
Номер в ICQ: 465164729

| Сообщение посчитали полезным:

Halt пишет:
erostext (mail.ru)
это мыло принадежит
Фёдоров Михаил
Z536197379576
erostext.com

данные с [url=http://www.liveinternet.ru/cgi-bin/rich
]http://www.liveinternet.ru/cgi-bin/rich
[/url]
лог расчетов дата платежей сумма
май 2007 1 19.00
март 2007 1 15.00
январь 2007 1 18.52

PS оффтоп может кто подскажет как можно отмыть электронные деньги ?? ;) /оффтоп

| Сообщение посчитали полезным:

Все, со вчерашнего дня капер будет палить эту какашку... А так да, это очередной пинч....

-----
The blood swap....

| Сообщение посчитали полезным:

вот мне "фотку" прислали IMG_2465.exe :
Запакована PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
При попытке распаковать, комп перезагружается. Кто посмотрит, что это за зверь?

bec6_12.06.2007_CRACKLAB.rU.tgz - IMG_2465.exe

| Сообщение посчитали полезным:

Mavlyudov пишет:
вот мне "фотку" прислали IMG_2465.exe :
выгружает файл cool.exe в папку windows

стандартный пинч...

логин xz221 сервер smtp.freemail.ru
все уходило на xz222@freemail.ru

| Сообщение посчитали полезным:

Mavlyudov пишет:
Запакована PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
Вот распакованный:
dump.ru/files/8/83969058460/
На работоспособность не проверял

| Сообщение посчитали полезным:

Еще один зверек....
В архиве оригинал, запаканный UPACK-ом, и анпакнутый....Кто хочет - ковыряйте..... Сам не разбирался....
На пинч что-то не очень смахивает, аверы молчат.... Как обычно....

2ff2_12.06.2007_CRACKLAB.rU.tgz - NEXT_UNpacked.zip

-----
The blood swap....

| Сообщение посчитали полезным: