В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

sewell
Валяй. поставь на самопал подпись мс. я тебе килобакс сразу заплачу.
сначала разберись в предмете разговора, потом ляпай неподумав..

| Сообщение посчитали полезным:

Присоединяюсь к высказыванию
Scratch пишет:
sewell
Валяй.

А если серьезно взгляните у себя (XP SP2) есть в system32 - apphelp32.dll или нет. Остальных из опсилова у меня нет.

| Сообщение посчитали полезным:

И еще вопрос возможно глуповатый как попроще выделить все библы без подписи т.е. каким программным средством это можно сделать?. Нет удалять я их всех сразу не собираюсь но на крючок поставить надо.
Ну уж раз начал задавать тогда еще один:
можно ли отследить инет активность приложений до уровня ресурсов т.е. каким программным средством это можно сделать? Пример скажем по сообщениям FW видим интернет движуху с основным потребителем explorer который сам по себе как вы понимаете по определению является не опастным продуктом а вот присоединенные к нему внешние библы которые имеют собственную активность по крайней мере в моем outpost`e не видны а хотелось бы. (Вероятно пример не самый лучший но надеюсь понятный)

| Сообщение посчитали полезным:

Medsft

На счет длл: www.sysinternals.com/Utilities/Autoruns.html
Утилита, позволяющая редактировать области автозапуска приложений в операционных системах
семейства Windows. Программа позволяет отменять и удалять элементы автозапуска. Кроме
стандартных ветвей реестра Run, RunOnce и папки Автозагрузка, эта утилита позволяет изменять
большое число прочих скрытых от рядового пользователя ветвей реестра, откуда происходит
автозапуск различных приложений, среди этих ветвей такие как: библиотеки подгружаемые
Explorer'ом, панели и дополнительные элементы Internet Explorer, задания планировщика задач,
системные службы/сервисы, библиотеки драйверов, список установленных DLL и многое, многое
другое.
+ проверяет подписи у длл.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Medsft
Medsft пишет:
И еще вопрос возможно глуповатый как попроще выделить все библы без подписи т.е. каким программным средством это можно сделать?. Нет удалять я их всех сразу не собираюсь но на крючок поставить надо.
те которые в данный момент загружены легко - утиль avz(Зайцева) -> исследование системы получиш virusinfo_syscure.htm, там можно не только посмотреть подписи, но и составить скрипты для удаления



Medsft пишет:
Пример скажем по сообщениям FW видим интернет движуху с основным потребителем explorer который сам по себе как вы понимаете по определению является не опастным продуктом а вот присоединенные к нему внешние библы которые имеют собственную активность по крайней мере в моем outpost`e не видны а хотелось бы. (Вероятно пример не самый лучший но надеюсь понятный)
Так, на вскидку, посмотри прогу Voyeur, тут проскакивала где-то

| Сообщение посчитали полезным:

Medsft пишет:
как попроще выделить все библы без подписи т.е. каким программным средством это можно сделать

Стандартными средствами:

Run -> Sigverif.exe

-----
Research is my purpose

| Сообщение посчитали полезным:

Поглядим.... на этого невидимку

Error_Log пишет:
Стандартными средствами - не канает поскольку проверяет подписи только в центре MS. Файлы подписанные другими организациями не признает.

| Сообщение посчитали полезным:

apphelp32.dll у меня нет но есть apphelp.dll

| Сообщение посчитали полезным:

в аську прислали
www.ifolder.ru/1863126
вирустотал:
AntiVir 7.4.0.34 06.21.2007 TR/Crypt.XPACK.Gen
AVG 7.5.0.467 06.20.2007 Generic4.UDP
BitDefender 7.2 06.21.2007 MemScan:Trojan.PWS.LdPinch.BSJ
F-Secure 6.70.13030.0 06.22.2007 Trojan-PSW.Win32.LdPinch.cat
Kaspersky 4.0.2.24 06.22.2007 Trojan-PSW.Win32.LdPinch.cat
NOD32v2 2343 06.21.2007 a variant of Win32/PSW.LdPinch.NCB
VBA32 3.12.0.2 06.21.2007 Trojan.Win32.PSW.LdPinch.NCB
Webwasher-Gateway 6.0.1 06.21.2007 Trojan.Crypt.XPACK.Gen

| Сообщение посчитали полезным:

[i]z0nata пишет:
в аську прислали
.......

уходило на icq.perekur.info/gate/gate.php понятно откуда у них номерочки
дубль на vaska_@mail.ru

| Сообщение посчитали полезным:

тут прислале таку ссылку: hxxp://burneft.ru/pat.php
есле без pat.php то с виду нефтяной саент...
видимо похэкале и всунуле чегото.
я с отключеныме яваскриптаме заходил на pat.php типа белы лист чёта не чисто там..
глянте кто шарит

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
мертва ссыль

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ну... и слва богу


-----
AutoIt

| Сообщение посчитали полезным:

Halt
Заражают систему через IE с помощью баги MS Internet Explorer Remote Code Execution Exploit (MS06-014)

от сюда тянеться апдейт вирусни
203.121.78.131/fack/spl/get.php?file=exe
Вирусняк отличный. Упакован самопалом и юзает вроде потом дровишки. Особо не ковырялся с ним. Кому интересно будет можете взглянуть.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

на диске появился какой-то странный ярлык PegeFile.pif
когда пытаюсь посмотреть к чему ярлык, выдается ошибка,
что память не может быть прочитана.
Удаляю файл, но он каждый раз появляется

Файл прикрепил

befa_11.07.2007_CRACKLAB.rU.tgz - PegeFile.pif

| Сообщение посчитали полезным:

Гляньте что за зверь такой .... каспер ругается на него как Trojan-Downloader.Win32.LoadAdv.gen
Знаю что таких вещей не существует в природе (кейгенов к БигФиш и Шоквейв).... но в инете валяется эта дрянь !
112 kb: http://link_deleted_by_forum_engine/files/1193377 http://link_deleted_by_forum_engine/files/1193377

В атаче (45 kb) скрин того что нашел в этом экзе мой каспер.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

млин после редактирования, не прицепился ....

0e04_11.07.2007_CRACKLAB.rU.tgz - BigFishKeyGen.jpg

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Mavlyudov
Обычный вирусняк. Написан на Дельфях.
PIF это обычный EXE в котором внутри находится DLL. Извлекается в систему и возможно прописывается в wininit.ini или в реестр, что то хучит. В общем не смотрел толком. Создает полюбому на дисках файлик с автораном самого себя. Так что бери свою флешку и тащи её к друзьям - повеселитесь вместе!

slil.ru/24619764 - сам exe и dll

Качаешь _ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Грузишся в сейф моде, а лучше вообще с лайв СД диска (INFR@ CD например) и лечишся утилитой.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Halt пишет:
уходило на icq.perekur.info/gate/gate.php понятно откуда у них номерочки
дубль на vaska_@mail.ru
Поздноя прочитал.

Кому нужен хакнутый гейт пинча?
icq.perekur.info/gate/09_57-21.07.2007_81.177.24.104_.php?q=ls
Вор у вора...

-----
ring 0

| Сообщение посчитали полезным:

apple
Гы =) тоже пытался, правда лог свой так и не нашел
Поздравляю!
Может задефейсить им? Или rm -f -R / ?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Я все скачал, сейчас смотрю, может, что интересное

-----
ring 0

| Сообщение посчитали полезным:

Может не в тему, но если кому шеллы нужны, то www.google.com/search?client=opera&rls=ru&q=c99shell+powered+by+Captain+Crunch+Security+Team&sourceid=opera&ie=utf-8&oe=utf-8

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вот мне прислали трояна(пинча) и я его отреверсил - а просил его у какого-то мяса вроде "ВорУЕм пАроЛЕ, КрепТумТакЧтОпРОсТОсУмАсОйти т.п.".
Вот вам мой конфигуратор пинча 3 версии, если у кого-нить есть инфо более подробноее об этой версии - выложите, если не влом: hччp://www.rapidshare.ru/347426
з.ы.: сорсы внутри

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

apple
Я и БД слил и файло Вроде ничего интересного нет. Хотя у всех свои вкусы.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Вроде ничего интересного нет. Хотя у всех свои вкусы.
Да. Посмотрел. Ничего интересного.

Ну вот еще шеллы (первые два - пароль стандартный)
__http://snyat.arendax.com/design/nstview.php
__http://www.latelierdescours.com/photogallerie/admin/nst.php
__http://mycutebabypage.com/include/doc.php

-----
ring 0

| Сообщение посчитали полезным:

screensaver.bos.ru/11_40-21.07.2007_81.177.24.104_.php?q=ls
Там Safe Mod
Может у Вас получится?

-----
ring 0

| Сообщение посчитали полезным:

apple
Сейф мод и не помеха. Смотря что тебе там нужно? Да и некоторые ограничения в некоторых версиях пхп можно обойти.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

в туже степь:
_http://www.gialle.org/phpshell-2.1/phpshell.php
_http://www.moi-libertine.com/www/shell.php
З.Ы.
_http://www.google.com/search?q=intitle%3Aindex.of+phpshell.php

| Сообщение посчитали полезным:

[HEX] пишет:
Я и БД слил и файло Вроде ничего интересного нет. Хотя у всех свои вкусы.
А что с гейтом стало?
Вроде пропатчил кто-то.

-----
ring 0

| Сообщение посчитали полезным:

apple
Так если мозг не в жопе находиться давно могли бы пропатчить.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: