В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

BishopPriest пишет:
Создано: 13 октября 2006 23:15:04

Бугага, глюки.

BishopPriest пишет:
и файлик с_подругой.exe (даже картинка sfxовая)

Поздравляю, вы уже наверное часть ботнета.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

SLV,[HEX],pushick
Bad_guy как в воду смотрел, когда говорил:
"Мне кажется что для многих топиков это будет вносить только путаницу, так как кто-то увидев первый пост на н-странице будет отвечать на него не читая остальное."
Ничего ,привыкнем, ведь с шапкой удобнее...

| Сообщение посчитали полезным:

tempread
Блин... читал что сделали шапку, а сам забыл
Так что полюбому надо делать шапку другим цветом чтобы сразу в глаза бросалось!!!

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Есть у кого файлик такой ms_ssl3_upd.exe или приходил по почте. если есть то пришлите потестить суда!!! чет меня заинтересовало.

| Сообщение посчитали полезным:

Это дропер для ntos.exe?

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick думаю да.

| Сообщение посчитали полезным:

Интересный сайтег: www.alla-bonn.ru http://www.alla-bonn.ru
Ток зашел на него, и сия тварь появилась у мну в авторане, и стартанула И это при том, что в осле напрочь запрещены все ActiveX!
(правда, у мну она сразу упала, ибо в импорте есть левая функа Левая для 9x )


3c1e_31.10.2007_CRACKLAB.rU.tgz - MSWin-101457462.exe

| Сообщение посчитали полезным:

0xy пишет:
И это при том, что в осле напрочь запрещены все ActiveX!

Там и JS достаточно.

Кстати, такоё приём обломать эмуляторы, как в этом звере я вижу впервые:
00401A59 > PUSH 0 ; /hIcon = NULL
00401A5E . CALL DWORD PTR DS:[<&User32.CopyIcon>] ; \CopyIcon
00401A64 . CALL DWORD PTR DS:[<&Kernel32.GetLastErr>; [GetLastError
00401A6A . SUB EAX,51D
00401A70 . PUSH EAX
00401A71 . POP ECX
00401A72 . MOV ESI,1.00401A72
00401A77 . ADD ECX,ESI
00401A79 . FFE1 JMP ECX

Но в целом ничего оригинального.

| Сообщение посчитали полезным:

как я понял, это лоадер, инжект в свхост) фаер фсё палит...

W[4Fh]LF пишет:
Но в целом ничего оригинального.

да ну =) там целый набор антиэмуля, почти все известные методы заюзаны)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Есть такой упаковщик, который для расшифровки использует коды ошибок всяких-всяких апи. Но это не он (: Там АПИ в цикле вызывается.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

з.ы. качает вот эту дрянь

00404120 00406E7D }n@. ASCII "http://81.95.149.236/206.exe"



а вот эта штучка уже посерьёзнее, с драйвером))) стучит сюды 66.232.101.162/
не палится пока)

ASCII "...\Temp\winlogon.exe"
UNICODE "DefLib.sys"

ыыы))) дроф кодили ламы)

.text:00010FF0 0000001E C Acept task: Defend process %d
.text:00011010 0000001C C Acept task: Hide process %d
.text:0001102C 00000019 C Acept task: Hide file %d

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

0xy пишет:
MSWin-101457462.exe

палится Dr.Webom: инфицирован Trojan.Packed.147

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Hellspawn пишет:
81.95.149.236/206.exe

4 хука в SSDT, скрытый процесс winlogon из темп, скрытый файл, все очень легко удаляется.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Hellspawn
Фейк "This Account Has Been Suspended For Violation Of Hosting Terms And Conditions"
или кто то маляву уже накатал?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

HEX, 2ой вариант скорее всего

| Сообщение посчитали полезным:

Hellspawn пишет:
з.ы. качает вот эту дрянь

00404120 00406E7D }n@. ASCII "http://81.95.149.236/206.exe"
Не только. Еще и эту хрень:
81.95.149.236/mails.exe

| Сообщение посчитали полезным:

berv пишет:

81.95.149.236/mails.exe

Trojan.Packed.147

Никто не смотрел, что он делает?

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Кстати уже другой сервак 66.232.98.112 в 206.exe или меня глчит?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

pushick пишет:
4 хука в SSDT, скрытый процесс winlogon из темп, скрытый файл, все очень легко удаляется.

я не стал его так далеко отпускать) там прогнал под отладчиком и идой

[HEX] пишет:
Кстати уже другой сервак 66.232.98.112 в 206.exe или меня глчит?

эм, хз)))

berv пишет:
Не только. Еще и эту хрень:
http://81.95.149.236/mails.exe http://81.95.149.236/mails.exe

хм, неужели я просмотрел, у меня тольку ту шнягу качать пытался и всё)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

pushick пишет:
81.95.149.236/mails.exe

Trojan.Packed.147

Никто не смотрел, что он делает?

Качнул. По классификации Касперского - это Trojan-Dropper.Win32.Small.bbs.

Обнаружено:

Расшифровывает из своего тела и сохраняет под именем %System%\<одно_из_возможных_имен> файл размером 46080 байт, идентифицирующийся как Email-Worm.Win32.Mydoom.bj.

Имя выбирается произвольным образом из следующего списка:
nptotect.exe
alg.exe
peverify.exe
makehm.exe
dw.exe
mc.exe
undname.exe
mdm.exe
ranlib.exe
vmwareeufad.exe
vnetlib.exe
vnetstats.exe
deviceemulator.exe
sevinst.exe
ccapp.exe
windres.exe
res2coff.exe
objcopy.exe
gcc.exe
gcc.exe
dllwrap.exe
ccc.exe
hypertrm.exe
uedit32.exe
regwiz.exe
wabmig.exe
navw32.exe
conf.exe
actcontroller.exe
umdh.exe
kdbgctrl.exe
i386kd.exe
cdb.exe
breakin.exe
7z.exe
alunotify.exe
lsetup.exe
ndetect.exe
symantecroot.exe
luinit.exe
idaw64.exe
idag.exe
ia64kd.exe
pdbcopy.exe
symstore.exe
symchk.exe
hhupd.exe
hhw.exe
flash.exe
codeblocks.exe

Прописывает распакованный файл в автозагрузку, добавляя его имя в конец ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"

После чего запускает расшифрованный файл на выполнение.

Во время работы неоднократно проверяется наличие отладчика. При обнаружении отладчика троянец аварийно завершает свою работу.




В общем, ничего интресного. Даже три последовательные навесные шифровки какой-то хренью снимаются за 5 минут.

| Сообщение посчитали полезным:

Off (не знаю куда его)
www.malwarebytes.org/beta/
Malwarebytes' Anti-Malware v0.69 Beta (October 30th, 2007)
www.malwarebytes.org/mbam/program/mbam-setup.exe

| Сообщение посчитали полезным:

Кому нибудь интересны ссылки на загрузку троянов ?
Чистил тут один заброшенный ftp'шник, понаходил всякие index.html чужие

А еще нашел скриптик, которым ботнет www.mail-archive.com/botnets@whitestar.linuxbox.org/msg01013.html


Кому интересно, выкладываю сам скрипт и его "анпакнутый" вариант:
dump.ru/files/n/n6476713238/
Пароль:123

| Сообщение посчитали полезным:

Ну кидай ссылки, а там посмотрим

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

dump.ru/files/n/n13673670/
Пароль тот же

| Сообщение посчитали полезным:

Обновили версию бота(стала в два раза больше), улыбнул коментарий внутри: This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.
Исходный и распакованый:
dump.ru/files/n/n76812182/
Пароль тот же

Если будут появляться еще новые версии бота, их выкладывать?
Скрипт шифруют вручную или есть такой "протектор" ?

| Сообщение посчитали полезным:

выкладывать
ссылки на трояны тоже интерисуют ;)

| Сообщение посчитали полезным:

tempread
Толку от этого бота который ничего не умеет делать кроме как собирать инфу о серваке где находиться, отправлять эту инфу на сервак переданый ему постом ну и обновляться. В общем это даже не бот, а обычное промежуточное звено типа шлюза. Скрипт принимает команды и передает их на сервак. Другое дело еслиб ты в логах увидел значение переменной ServerURL

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Скрипт шифруют вручную или есть такой "протектор" ?
Ну раз такой коммент внутри файла, то на 90% что юзают фриварный продукт по шифрованию скриптов.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Другое дело еслиб ты в логах увидел значение переменной ServerURL
Дело в том, что никто вроде и не пытается отправить запрос... Но я буду посматривать в логи

| Сообщение посчитали полезным:

tempread
На всякий случай напомню что в логах не пишется POST значения ;) Ну и соответственно в логах Апача нихрена не увидем. Так что допиши пару строк в скрипт чтобы при выполнении этого скрипта все значения писались в файл.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: