Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 47 . 48 . >> |
Посл.ответ | Сообщение |
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 |
|
Создано: 27 октября 2007 18:12 · Личное сообщение · #2 |
|
Создано: 27 октября 2007 18:21 · Поправил: tempread · Личное сообщение · #3 SLV,[HEX],pushick Bad_guy как в воду смотрел, когда говорил: "Мне кажется что для многих топиков это будет вносить только путаницу, так как кто-то увидев первый пост на н-странице будет отвечать на него не читая остальное." Ничего ,привыкнем, ведь с шапкой удобнее... |
|
Создано: 27 октября 2007 18:29 · Личное сообщение · #4 |
|
Создано: 28 октября 2007 08:02 · Личное сообщение · #5 |
|
Создано: 28 октября 2007 15:39 · Личное сообщение · #6 |
|
Создано: 29 октября 2007 05:46 · Личное сообщение · #7 |
|
Создано: 31 октября 2007 13:23 · Поправил: 0xy · Личное сообщение · #8 Интересный сайтег: www.alla-bonn.ru http://www.alla-bonn.ru Ток зашел на него, и сия тварь появилась у мну в авторане, и стартанула И это при том, что в осле напрочь запрещены все ActiveX! (правда, у мну она сразу упала, ибо в импорте есть левая функа Левая для 9x ) 3c1e_31.10.2007_CRACKLAB.rU.tgz - MSWin-101457462.exe |
|
Создано: 31 октября 2007 14:15 · Личное сообщение · #9 0xy пишет: И это при том, что в осле напрочь запрещены все ActiveX! Там и JS достаточно. Кстати, такоё приём обломать эмуляторы, как в этом звере я вижу впервые: 00401A59 > PUSH 0 ; /hIcon = NULL 00401A5E . CALL DWORD PTR DS:[<&User32.CopyIcon>] ; \CopyIcon 00401A64 . CALL DWORD PTR DS:[<&Kernel32.GetLastErr>; [GetLastError 00401A6A . SUB EAX,51D 00401A70 . PUSH EAX 00401A71 . POP ECX 00401A72 . MOV ESI,1.00401A72 00401A77 . ADD ECX,ESI 00401A79 . FFE1 JMP ECX Но в целом ничего оригинального. |
|
Создано: 31 октября 2007 14:32 · Личное сообщение · #10 |
|
Создано: 31 октября 2007 14:43 · Личное сообщение · #11 |
|
Создано: 31 октября 2007 14:59 · Поправил: Hellspawn · Личное сообщение · #12 з.ы. качает вот эту дрянь 00404120 00406E7D }n@. ASCII "http://81.95.149.236/206.exe" а вот эта штучка уже посерьёзнее, с драйвером))) стучит сюды 66.232.101.162/ не палится пока) ASCII "...\Temp\winlogon.exe"
ыыы))) дроф кодили ламы) .text:00010FF0 0000001E C Acept task: Defend process %d
----- [nice coder and reverser] |
|
Создано: 31 октября 2007 17:30 · Личное сообщение · #13 |
|
Создано: 31 октября 2007 18:12 · Личное сообщение · #14 |
|
Создано: 31 октября 2007 18:27 · Личное сообщение · #15 |
|
Создано: 31 октября 2007 18:30 · Личное сообщение · #16 |
|
Создано: 31 октября 2007 18:48 · Личное сообщение · #17 |
|
Создано: 31 октября 2007 18:55 · Личное сообщение · #18 |
|
Создано: 31 октября 2007 18:58 · Личное сообщение · #19 |
|
Создано: 31 октября 2007 23:49 · Поправил: Hellspawn · Личное сообщение · #20 pushick пишет: 4 хука в SSDT, скрытый процесс winlogon из темп, скрытый файл, все очень легко удаляется. я не стал его так далеко отпускать) там прогнал под отладчиком и идой [HEX] пишет: Кстати уже другой сервак 66.232.98.112 в 206.exe или меня глчит? эм, хз))) berv пишет: Не только. Еще и эту хрень: http://81.95.149.236/mails.exe http://81.95.149.236/mails.exe хм, неужели я просмотрел, у меня тольку ту шнягу качать пытался и всё))) ----- [nice coder and reverser] |
|
Создано: 01 ноября 2007 00:34 · Личное сообщение · #21 pushick пишет: 81.95.149.236/mails.exe Trojan.Packed.147 Никто не смотрел, что он делает? Качнул. По классификации Касперского - это Trojan-Dropper.Win32.Small.bbs. Обнаружено: Расшифровывает из своего тела и сохраняет под именем %System%\<одно_из_возможных_имен> файл размером 46080 байт, идентифицирующийся как Email-Worm.Win32.Mydoom.bj. Имя выбирается произвольным образом из следующего списка: nptotect.exe alg.exe peverify.exe makehm.exe dw.exe mc.exe undname.exe mdm.exe ranlib.exe vmwareeufad.exe vnetlib.exe vnetstats.exe deviceemulator.exe sevinst.exe ccapp.exe windres.exe res2coff.exe objcopy.exe gcc.exe gcc.exe dllwrap.exe ccc.exe hypertrm.exe uedit32.exe regwiz.exe wabmig.exe navw32.exe conf.exe actcontroller.exe umdh.exe kdbgctrl.exe i386kd.exe cdb.exe breakin.exe 7z.exe alunotify.exe lsetup.exe ndetect.exe symantecroot.exe luinit.exe idaw64.exe idag.exe ia64kd.exe pdbcopy.exe symstore.exe symchk.exe hhupd.exe hhw.exe flash.exe codeblocks.exe Прописывает распакованный файл в автозагрузку, добавляя его имя в конец ключа реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" После чего запускает расшифрованный файл на выполнение. Во время работы неоднократно проверяется наличие отладчика. При обнаружении отладчика троянец аварийно завершает свою работу. В общем, ничего интресного. Даже три последовательные навесные шифровки какой-то хренью снимаются за 5 минут. |
|
Создано: 01 ноября 2007 15:25 · Личное сообщение · #22 |
|
Создано: 19 ноября 2007 19:33 · Поправил: tempread · Личное сообщение · #23 Кому нибудь интересны ссылки на загрузку троянов ? Чистил тут один заброшенный ftp'шник, понаходил всякие index.html чужие А еще нашел скриптик, которым ботнет www.mail-archive.com/botnets@whitestar.linuxbox.org/msg01013.html Кому интересно, выкладываю сам скрипт и его "анпакнутый" вариант: dump.ru/files/n/n6476713238/ Пароль:123 |
|
Создано: 19 ноября 2007 21:01 · Личное сообщение · #24 |
|
Создано: 19 ноября 2007 21:28 · Личное сообщение · #25 |
|
Создано: 20 ноября 2007 13:42 · Личное сообщение · #26 Обновили версию бота(стала в два раза больше), улыбнул коментарий внутри: This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited. Исходный и распакованый: dump.ru/files/n/n76812182/ Пароль тот же Если будут появляться еще новые версии бота, их выкладывать? Скрипт шифруют вручную или есть такой "протектор" ? |
|
Создано: 20 ноября 2007 16:51 · Личное сообщение · #27 |
|
Создано: 20 ноября 2007 18:13 · Личное сообщение · #28 tempread Толку от этого бота который ничего не умеет делать кроме как собирать инфу о серваке где находиться, отправлять эту инфу на сервак переданый ему постом ну и обновляться. В общем это даже не бот, а обычное промежуточное звено типа шлюза. Скрипт принимает команды и передает их на сервак. Другое дело еслиб ты в логах увидел значение переменной ServerURL ----- Computer Security Laboratory |
|
Создано: 20 ноября 2007 18:15 · Личное сообщение · #29 |
|
Создано: 20 ноября 2007 18:19 · Личное сообщение · #30 |
|
Создано: 20 ноября 2007 18:40 · Личное сообщение · #31 |
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 47 . 48 . >> |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
Эта тема закрыта. Ответы больше не принимаются. |