В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

попался такой сайт http://ponochka.ru/
Скачал прогу. В папке только PopupBlocker.dll и кака-то иконка..
dll запакован непонятно чем, а пеид глючит на сигнатуру...
Не знаю что это, может конечно и плагин для IE, но сомневаюсь что-то

| Сообщение посчитали полезным:

Mavlyudov
мне сказал Stealth PE но вроде ничего подозрительного не увидел.. в коде только тэги которые надо блокировать(?) похоже не врут.. или я проглядел )

| Сообщение посчитали полезным:

Halt
я не понял как саму прогу запустить....

| Сообщение посчитали полезным:

Mavlyudov
Помоему этой Поночке уже год как. Если не ошибаюсь, то это навесок на IE и через этот навесок можно отправлять смс, но естественно программерам на что то жить надо? Отсюда и реклама различных ресурсов типа InTV, OLaLa и еще каких то + возможно банеры. Особо серьезного ничего год назад не видел. Кстати можно и просто с ихней страницы отправялть смс не ставя никаких примочек посмотрев как формируется строка в самой дллке.

Так что ничего в этой длл нету! И ничем даже не паковано.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

темка задохла что-то с уходом красного бэхоце-барона. Давайте новые троянчеги, будем тестить аверы на них.

| Сообщение посчитали полезным:

Ara
Держи

2ba3_22.09.2007_CRACKLAB.rU.tgz - file.exe_

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit

хех, галимый лоадер ) пожат WinUpack 0.39 вроде на сях скомпилен

обращается сюда -> "http://malasha.com/loader/load.php"
там получает строку "LOAD#http://malasha.com/files/loader.exe#http://malasha.com/files/loa d.exe#"

файлы качает в папочку темп

продолжаем:

malasha.com/files/loader.exe - я аж прослезился)))) накодено в Delphi
весь код жутко размазан мусором -_-
www.virustotal.com/ru/resultado.html?be3e4f90152a08611e1eec9f2a 6f9fb5

load.exe - это шняга инжектиться в осла и что то пытается скачать)))
www.virustotal.com/ru/resultado.html?665e6f57e22acaacb58fce0e1e d228e8

создаёт и запускает:
C:\WINDOWS\System32\drivers\ip6fw.sys
C:\WINDOWS\System32\drivers\runtime.sys

з.ы. свеженькие)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Spirit пишет:
Держи
даеш новые трои!!! А это не тру тройчег, его аверы неплохо палят))
www.virustotal.com/ru/resultado.html?bf7101e328c28341d96170b247bb93e3
Сталобыть тест несдан ))

| Сообщение посчитали полезным:

VAD87 пишет:
его аверы неплохо палят)
нод32 как всегда в жеппе

| Сообщение посчитали полезным:

нод32 в принципе неплохой, эвристика мне нравится, но ошибок в нем стока что ощущение - я его сам писал

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

терь будет так:

load.exe_ - Trojan-Dropper.Win32.Agent.bye
loader.exe_ - Trojan-Downloader.Win32.Banload.drs

depler пишет:
нод32 в принципе неплохо

да ну, битдифендер посимпотичнее будет

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Использую Касперского, и полный памперс радости
А вообще головой надо думать, когда файлы у себя запускаешь, если в инет поперлась прога - значит 6\10 что это нехорошая прога

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Господа, а вот такой вопрос по теме.
У меня 2 вирт. машины под тестинг антивирусами, пока без последних.
Задача состоит в том чтобы поставить максимальное число антивирей используя всего 2 виртмашины.
Известно что антивири с дург дургом не очень дружат и могут убить систему.
Как бы вы рапределили AV, какие поставили бы на первую а какие на вторую, и чтобы все это работало?

| Сообщение посчитали полезным:

да ни как гон все это. если они не дружат то все писец. а так многое от железа зависит. можно ставить некоторые авсы, и убирать резидентность.

| Сообщение посчитали полезным:

Hellspawn пишет:
да ну, битдифендер посимпотичнее будет
Закачал себе последний битдеф 2008, бля - гавно редкостное.Единственное что там нормальное это эмуль и сигнатурный поиск. Интерфейс был видимо написан под конкретной дозой наркоты, а перехвать - это вообще цирк. У антивируса в SSDT:
NtOpenProcess, NtOpenThread,NtTerminateProcess. ну и нотифи на загрузку образа и создание процесса. На 3м кольце не трогали ничего.
Сегодня скачаю их "интернет секурити" версию, посмотрю что там они добавили, но после авера создается впечатление что они регрессируют.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

Лучше кидайте троянчегов с ботнетом Авось парк зомбиков найдем

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] а толку? Если троянчег например отмечатется на какой то domain.com/count.php, а с domain.com/cmd.php получает команды. Все равно ты свои команды для всего ботнета не сможешь установить.

| Сообщение посчитали полезным:

Изучайте!

9875_24.09.2007_CRACKLAB.rU.tgz - 1.rar

| Сообщение посчитали полезным:

darkcoder
Я разве написал что 100% получим доступ к ботнету?! Написано же Авось парк зомбиков найдем. И это уже второй шаг как заполучить доступ к ботнету и он тут не обсуждается.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Тогда и коллекция урлов на лоадеры тоже не выкладывается

| Сообщение посчитали полезным:

Мдя напугал Можешь у себя оставить урлы. Еще предложи продавать подобные ссылки Они нафиг никому не нужны. Тут анализируют ради своего интереса дабы помочь людям которые подцепили заразу. К тому же тут не школа Арви чтобы обсуждать второй шаг!

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

darkcoder пишет:
Господа, а вот такой вопрос по теме.

Если задача в тестировании сканеров, то ставь хоть все на одну. Если мониторы тестируешь, то под каждый вирь свою машину

| Сообщение посчитали полезным:

tnt17 пишет:
Единственное что там нормальное это эмуль и сигнатурный поис

я это и имел ввиду, остальное не айс

berv пишет:
Изучайте!

утянул =)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Gideon Vi спасибо. думаю сканеров хватит, по идее они перекриптованный эксплоит тоже должны ловить как и монитор, если его скормить сканеру как хтмл файл.

| Сообщение посчитали полезным:

Кому интересно - спам из аськи

407550651 (18:12:50 24/09/2007)
1. 250 убойных анимированных смайлов для qip!! ????://link_deleted_by_forum_engine/files/1863107
2. красивейший скин qip! ????://link_deleted_by_forum_engine/files/1863166
3. ну и на последок - финальная версия qip8030 - ????://link_deleted_by_forum_engine/files/1863224

ЗЫ квип оказывается на Си переписали (п.3)

| Сообщение посчитали полезным:

HoBleen пишет:
Кому интересно - спам из аськи

407550651 (18:12:50 24/09/2007)
1. 250 убойных анимированных смайлов для qip!! ????://link_deleted_by_forum_engine/files/1863107
2. красивейший скин qip! ????://link_deleted_by_forum_engine/files/1863166
3. ну и на последок - финальная версия qip8030 - ????://link_deleted_by_forum_engine/files/1863224
Про qip8030, это уже баян )) недавно на многих варезниках появилось это чудо, а там QIP 8020 с приджойненым пинчем ;)

| Сообщение посчитали полезным:

В понед на работе поймали. троянчег.
pas 666

ecac_26.09.2007_CRACKLAB.rU.tgz - Photo.rar

| Сообщение посчитали полезным:

SGA
Photo.rar: Ошибка CRC в зашифрованном файле Photo.exe (неверный пароль?)

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Пришло по аське сообщение посмотреть какой-то интересный мувик на сайте -> www.bim-bam.ru/youtube/?view=2c095561
Там было предложено скачать прогу для просмотра видео.
Прога весит 2,3 MB, На virustotal'e ругается каждый второй.
Файл пакован UPX и в ресурсах лежит маленькая dll.

Тут http://dump.ru/files/m/m738820709/ лежит архив с распакованной программой и длл. (11 KB)

| Сообщение посчитали полезным:

Flint пишет:
SGA
Photo.rar: Ошибка CRC в зашифрованном файле Photo.exe (неверный пароль?)
подтверждаю, пасс неверный

| Сообщение посчитали полезным: