| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 27 ноября 2006 10:23 · Личное сообщение · #2 А я вот у себя сегодня наткнулся на подозрительный файл... Врубил я значит диспетчер задач, а там два процесса csrss.exe Смотрю один файл сидит в папке WINDOWS, хотя настоящий файл csrss.exe лежит в папке system32 и весит он поменьше... Вобщем этот подозрительный файл чёто хитрое творит, PEiD говорит: MEW 11 SE 1.2 -> NorthFox/HCC NOD32 с базами от 24.11.2006 - молчит Доктор веб Экcпpecc-пpoвepкa - от 21.11.2006 - молчит Народ плиз ктонить глянте, что он может делать на моём компе?  5a00_27.11.2006_CRACKLAB.rU.tgz - virus-csrss.rar
----- AutoIt |
|
|
Создано: 27 ноября 2006 10:42 · Личное сообщение · #3 OLEGator пишет: А я вот у себя сегодня наткнулся на подозрительный файл... Врубил я значит диспетчер задач, а там два процесса csrss.exe Похоже что это --> ВОТ ЭТО <-- http://www.symantec.ru/security_response/writeup.jsp?docid=2004-091409-4900-99&tabid=2 |
|
|
Создано: 27 ноября 2006 11:00 · Поправил: OLEGator · Личное сообщение · #4 У тебя он так определился? Там зверёк довольно таки старый (наверное должен был определиться моим антивирем) И автозагрузка у меня пуста, никак не найду от куда он стартует... Наверное просто метод сокрытия похож... Я его убил с помощью prkiller и удалил файл и папки виндус. Пробовал отмониторить его с помощью регмона и файлмона, так машина вывалилась в экран смерти.. Пробовал просто регмоном, дык там к стольким ключам он обращается, чёта похоже, что он пытается открыть службу терминала. Мне главное узнать - Не заражает ли он других файлов? И не чего мог отправить с моего компа (кстати аутпост всё время пока он у меня сидел молчал, а сидит он уже с 22 нoябpя 2006) з.ы. нашол где он стартует: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun system "C:WINDOWScsrss.exe ----- AutoIt |
|
|
Создано: 27 ноября 2006 11:06 · Личное сообщение · #5 Прикольный вирь. Прописывает себя для встроеного виндос фаирвол. Блокирует АНТИХАКЕР, далее запускает несколько треадов если авп выдал сообщение что вирь найде нажимает пропустить. И как всегда начинает тырить пароли ко всему что только можно. |
|
|
Создано: 27 ноября 2006 11:11 · Поправил: OLEGator · Личное сообщение · #6 Вот фак! А по подробнее от чего пароли? На инет у меня пароль на нужен, отлгюком я не пользуюсь... кейлогерскими функциями надеюсь он не обладает? и файло моё не заражает? з.ы. щас его прогнал на онлайнпроверке viruslist.com - типа касперчег там... В проверяемом файле вирусов не обнаружено. Видимо пакер хороший очень... ----- AutoIt |
|
|
Создано: 27 ноября 2006 11:18 · Поправил: Cigan · Личное сообщение · #7 Обладает. Перечислю что я так на вскидку увидел. Миранда, Mail-agent, &RQ, CuteFTP, TotalComander, Opera,ICQ и т.д. и т.п. Файлы не заражает. Обыкновенный троян. В папчек виндовс у тебя создан фаил hook.txt создает процедура котрая занимаеться кейлогерством. |
|
|
Создано: 27 ноября 2006 11:37 · Личное сообщение · #8 ОФИГЕТЬ!!!!!!!!!!!!! Тут вся моя переписка в Ацке... Ибануца! Я в шоке! Mail-agent, &RQ - я юзаю.... (точне R&Q мож там пасы по другому шифруются...) И мазила тандербирд у мну на почте... (на всякий случай поменяю...) Срочно менять пассы... А hook.txt у меня тока за вчерашний день, это он уже скока отправить успел... ЙОП!!! з.ы. Я его отправил NOD32'y на анализ... ----- AutoIt |
|
|
Создано: 27 ноября 2006 11:58 · Личное сообщение · #9 На держи загружай в ИДУ и смотри что он отправляет что нет 2e21_27.11.2006_CRACKLAB.rU.tgz - Dumped_.zip
|
|
|
Создано: 27 ноября 2006 12:24 · Личное сообщение · #10 Я бы с радостью, да тока не шарю я в этом... 
Вроде все пассы не тронутые... Храню я пароли в PasswordsPro, щас поменял те которыми пользовался, перекопировал на несколько носителей и вроде бы спокоен... Спасибо за помощь...
----- AutoIt |
|
|
Создано: 27 ноября 2006 21:26 · Личное сообщение · #11 OLEGator Заведи себе виртуалку, и всё что скачиваеш с инета, запускай на ней, а потом смотри, не появились ли домовые. По поводу троя, там скорей всего пинч3, в 90%- случаев он не обнаруживается антивирусами, как трой. |
|
|
Создано: 27 ноября 2006 22:10 · Личное сообщение · #12 Народ, а чего так удивляться то. Вот тут один из активных участников этого форума неоднократно дававший ссылки со своего сайта (пиарить не буду) буквально на днях выложил прикольненький, довольно новый и незаюзаный криптор, которым если обработать всё тот же легендарный Пинч(либо Ксинч), то вирустоталком покажет чтоиз 28 антивирусов 26 - Not Found и 2 совершенно никем не используемых - подозрительный файл! Это не руководство к деуствию, это всего лишь частный пример. Наплмню, ПАБЛИК. не приватный криптор. А что говорить о приватных? |
|
|
Создано: 28 ноября 2006 07:15 · Личное сообщение · #13 NIKOLA пишет: Заведи себе виртуалку Да вот надо бы... Просто не пользовался никогда ещё... аорылся на винте, надыбал вот: VMware Workstation 5.5.0 build-16958 поёдёт? Ща пойду кряк искать... И теперь я начал серьёзно задумываться над тем, чтобы не сидеть под админом. ----- AutoIt |
|
|
Создано: 28 ноября 2006 09:13 · Личное сообщение · #14 OLEGator пишет: VMware Workstation 5.5.0 build-16958 поёдёт? Пойдет, у меня виртуал писи. OLEGator пишет: не сидеть под админом Тоже об этом думал,но , не удобнобно. Очень часто нужны права админа. |
|
|
Создано: 28 ноября 2006 11:39 · Личное сообщение · #15 Спецом скачал и запустил =) Zone Alarm этого зверя успешно остановил. |
|
|
Создано: 16 декабря 2006 14:16 · Личное сообщение · #16 В итоге: viruslist.com сделал своё дело! После того как я прогнал его на онлайн проверке он стал определяться как: Trojan-PSW.Win32.LdPinch.bel http://www.viruslist.com/ru/viruses/encyclopedia?virusid=144185 Хочу заметить касперчег работает оперативно! прогнал я его вечером: 27.ноя.2006 а Детектирование добавлено: 28.ноя.2006 00:00 MSK А вот NOD32 меня очень огорчил... отправлял его им 2 раза и досихпор не детектит... начинаю жалеть о том что поставил его... 
----- AutoIt |
|
|
Создано: 16 декабря 2006 22:23 · Личное сообщение · #17 OLEGator, дык ставь тогда Кашперчега! =) И делов то... =) |
|
|
Создано: 16 декабря 2006 23:32 · Личное сообщение · #18 У кого есть пинч, кому присылали недавно - дайте плз. Ждем на мыло ara()cracklab()ru |
|
|
Создано: 17 декабря 2006 01:11 · Личное сообщение · #19 Интересно, миралабсов не ломанули случаем? мне в асю приходило как-то от знакомого типа: Привет. Как жизнь? Короче держи офигительную программу, рекомендую! fairys-life.com/supersoft/ware/mobile.exe А потом nice говорил, что ему приходило тоже такое... Скан в памяти рулит сначало тело нарушило политику контроля активности, потом его просканил двиг битдефендера и забанил без вопросов, пакуй-непакуй  . Хотя и так понятно было, что там вирь. А вообще нефиг запускать у себя на машине файлы неизвесного происхождения и все будет пучком... Если бы у меня на машине стоял антивирь он орал бы безпробудно, так как у меня такого г***** хватает...
----- Research is my purpose |
|
|
Создано: 17 декабря 2006 06:12 · Личное сообщение · #20 Error_Log пишет: Интересно, миралабсов не ломанули случаем Это наверно троян такой, шлет сообщения всему контактному листу ICQ-клиента. Типа ICQ-червя... |
|
|
Создано: 17 декабря 2006 06:19 · Личное сообщение · #21 Error_Log это червяк очень популярный в нашей сеногоге (мы знаем аффтора даже лично)... бугого даже некоторые даосы с васма им болеле (и задавали точно такиеже вопросы не похэкали-ли мирабилов?) не допуская и мысли что они стали частью ботнета... что и говорить об обычных воинах дзена тогда...
|
|
|
Создано: 17 декабря 2006 07:03 · Личное сообщение · #22 Shidla пишет: дык ставь тогда Кашперчега! =) И делов то... =) Правда отклоняемся от темы, но всё же: Дык я и ушёл от каспера к ноду... А теперь жалеть начинаю... А сейчас отпугивают проблемы с ключами у каспера (блек лист и всё такое) Сори за оффтоп...
----- AutoIt |
|
|
Создано: 31 декабря 2006 06:19 · Личное сообщение · #23 Мне приходило два раза, но ничего эта зараза сделать не смогла. Написана она изначально криво т.к. не смогла пробиться даже через мою непараноидальную защиту в сеть, руки бы оторвать автору, который это написал, трафика жалко на десяток подобных писем в день. |
|
|
Создано: 10 января 2007 13:01 · Личное сообщение · #24 Мне больше 5 раз приходило.. правда на разные адреса.. самое интересное, что на маил.ру стоит антивирус, но все равно пропускает)) |
|
|
Создано: 10 января 2007 13:17 · Личное сообщение · #25 NIKOLA пишет: Меня терзают смутные сомнения что ты PE_Kill не последний. Мысль улавливаите ? Улавливаем. Мне тоже приходило. Как-никак база то "гуляет" по сети. ----- ring 0 |
|
|
Создано: 10 января 2007 13:40 · Личное сообщение · #26 Ara пишет: Ну хз, кто-то все-таки мониторит форум. Разец Ms-Rem'у пришло письмо якобы от меня с какой-то тулзой. Есс-но там был засранчег. Можно много чего тырить сниффером со... спутника. Сам проверял: комп работал по 3-5 часов в день - за месяц собрал 30 тыс. мыл абонентов + порядка 400 тыс. мыл тех, с кем они ведут переписку, о каких темах, иногда их айпишники (то есть географию). Что, маша не откроет письмо Саши, где "Я тебя люблю. Вот моя фоттка!!!" P.S.: Эти данные для mail.ru. При целенаправленном сборе цифры увеличиваются %) ----- ring 0 |
|
|
Создано: 10 января 2007 23:25 · Поправил: [HEX] · Личное сообщение · #27 apple Со спутником без шифрации работать - это идиотизм!  До сих пор не пойму почему об этом никто не задумывается. Народ сидит и рыбачит приватную инфу, а всем наверное пофигу  IPsec VPN для кого придуман то?
----- Computer Security Laboratory |
|
|
Создано: 11 января 2007 00:29 · Личное сообщение · #28 Ну есть же варианты поключения через так называемы ускорители интернета Например Globax Если через него, то нельзя рыбачить. Хотя это всю только стандартными прогами. Если разобрать его то можо и его перехватывать. |
|
|
Создано: 11 января 2007 05:17 · Поправил: apple · Личное сообщение · #29 [HEX] пишет: IPsec VPN для кого придуман то? Он-то придуман, а у многих провов в описании настроек надо снять галку "Обязательно шифровать данные..." Spongel3ob пишет: Хотя это всю только стандартными прогами. Если разобрать его то можо и его перехватывать. Его разбирать не будут. По крайней мере автор Globax связывался с автором скайнета и последний обещал его не трогать (иначе на спейсгейте прикроют рыбалку) вот такое соглашение... ----- ring 0 |
|
|
Создано: 11 января 2007 06:58 · Личное сообщение · #30 OLEGator пишет: OLEGator У тебя пинч был,это точно пинч на такую же фигню сама нарывалась,уже выше перечисляли меняй все пароли,кстати оутпост он обходит  и Антихакера.И кучу от чего пассы тырит,у меня даже от фтп,о тотала стырил падла(этот не хороший человек:s5Все его возможности в инете почитай
|
|
|
Создано: 11 января 2007 09:23 · Личное сообщение · #31 apple Просят отключать, так как это лишняя нагрузка для них. Провы обычно подобную услугу предоставляют за бабло  Но поидее VPN с шифрованием не обязательно брать только у прова. Поискать в нете можно у кого попросить такую услугу.
А у Globax наверное обычный zlib (для компресии), crc (для проверки правильности принятых пакетов) и авторизация по md5. По крайней мере эти криптоалго присутствуют в ихних файликах. ----- Computer Security Laboratory |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати