| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 11 декабря 2007 15:59 · Личное сообщение · #2 Только что нашёл такую вот вещь на компе одной их бухгалтерш. Все файлы с расширением .ехе лежали у неё в system32, с расширением .sys - в system32/drivers (не могу понять где эта ссука могла руткит выцепить). Очень интересует помощь в плане того, что б вычислить откудава эта зараза НАЧИНАЕТСЯ в автозагрузке. Смотрел через autoruns - вроде как все ключи поубивал, а она опять начинает грузиться! Блин, тут ещё и был файл ntos.exe (в system32), но его уже удалил напарник. Файл точно создаётся из-за этой гадости. Может быть у этой фигни есть ещё модули где-то в системе - я не нашёл ничего более подозрительного. У неё на компьютере дрова вызывали БСОД - думаю что они криво написаны и имеют конфликты с доменными политиками. Просто вся эта гадость прописана в автозагрузке и как-то не очень приятно когда как только осуществляешь вход в домен - получаешь БСОД. Всё, только что сам кажется допёр что тут и как, вот админка злодеев, что-то тут не чисто, вот ссыль: callstat.info/load4/admin/load.php?id=%d Где "%d" - скорее всего идентификатор бота или что это такое, мать их ети! З.Ы.: пароль на архив 22222222  8f49_11.12.2007_CRACKLAB.rU.tgz - zasada.rar
----- все багрепорты - в личные сообщения |
|
|
Создано: 11 декабря 2007 16:06 · Личное сообщение · #3 Админка этих уродов, : callstat.info/load4/admin/ кто найдёт пасс - тому респект 
----- все багрепорты - в личные сообщения |
|
|
Создано: 11 декабря 2007 16:10 · Личное сообщение · #4 > Блин, тут ещё и был файл ntos.exe троян зеус) ----- Shalom ebanats! |
|
|
Создано: 11 декабря 2007 16:36 · Личное сообщение · #5 "iNF` [LOADER]" - может это у неё не один зевс на компе был ? 
----- все багрепорты - в личные сообщения |
|
|
Создано: 11 декабря 2007 17:03 · Личное сообщение · #6 HandMill там скорее всего целый рассадник троев. лучше переустанови винду, если неможешь вычистить лоадер из системы ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 11 декабря 2007 17:30 · Личное сообщение · #7 kis/kav 7.0 только так вычистит эту гадость))) сам не давно чистил у знакомой, штук 5 руткитов было, топ-5 ёпт 
----- [nice coder and reverser] |
|
|
Создано: 11 декабря 2007 17:42 · Личное сообщение · #8 Да я уже избавился от всего того хлама что там был у неё на компе, теперь всё воркает как нада, по крайней мере я на это надеюсь, ведь бсодов больше нет
Hellspawn пишет: kis/kav 7.0 у меня тут на работе политика не позволяет использовать сторонние антивирусные программы и прочее программное обеспечение 
tnt17, ей винду переустанавливать - целая проблема ... у нас тут работа с БД и всё такое + она ещё такая нервная сука, что лучше её винды не трогать - работают - да и ладно. Да и я вроде бы всё лишнее прибил (длл и дров без подписей нету, левых ЕХЕ - тоже) ----- все багрепорты - в личные сообщения |
|
|
Создано: 11 декабря 2007 17:49 · Поправил: SLV · Личное сообщение · #9 zeus просто так не убить, он живучий...) ----- Shalom ebanats! |
|
|
Создано: 11 декабря 2007 18:00 · Личное сообщение · #10 SLV, а я вместо ntos.exe текстовый файл подложил и ему присвоил атрибуты - "Только чтение" 
И если можно - то поподробнее об убийстве зевса
----- все багрепорты - в личные сообщения |
|
|
Создано: 11 декабря 2007 18:21 · Личное сообщение · #11 открываешь редактор реестра, удаляешь оттуда всё по нтос.exe и сразу reset/закрыть winlogon.exe при следущем старте системы уже не будет диалога с сертификатами (если ты уже не ввёл туда что надо =)) и не будут похуканы api, сталобыть ntos.exe можно просто удалить... проблема в том что логи уже видимо не мало времени шли с вашего кампега, хз что там если и было важное то наверно уже нету)
----- Shalom ebanats! |
|
|
Создано: 15 декабря 2007 02:52 · Личное сообщение · #12 Ну наконец-то спам, а мб и трои дошли и до меня)) Тока что пришло в оську: 382028030 (02:41:11 15/12/2007) Запрос авторизации Эта программа поможет Вам получить ответ на то, как поступить или что сделать в той или иной ситуации. webfile.ru/1641363 четам за файл, еще неглядел, но уже интересно)) |
|
|
Создано: 15 декабря 2007 05:07 · Поправил: [HEX] · Личное сообщение · #13 VAD87 Пинч с гейтом hxxp://x4kep.1gb.in/gate/gate.php отчетов нет, так как видать какой то чайник впаривает троянчега 41393381 -rwxrwx--- 1 vhostsadm vhosts 1381 26.11.2007 09:34 gate.php 41393382 -rwxrwx--- 1 vhostsadm vhosts 648 26.11.2007 09:34 filelist.php 48171061 drwxrwx--- 2 vhostsadm vhosts 4096 15.12.2007 02:13 reps ----- Computer Security Laboratory |
|
|
Создано: 17 декабря 2007 16:01 · Личное сообщение · #14 VAD87 мне такую хрень присылали несколько раз, был пинч ----- Crack your mind, save the planet |
|
|
Создано: 18 декабря 2007 15:42 · Поправил: S_T_A_S_ · Личное сообщение · #15 Прикольный там ntoss.sys
На чём успешно и падает... но не всегда
ЗЫ а дрова дропает похоже ldr.exe (пишется в юзеринит) или еще там винлогон нотифай какой-то, не разбирался особо |
|
|
Создано: 19 декабря 2007 23:12 · Личное сообщение · #16 Седня в аське поймал: 256013151 (23:02:36 19/12/2007) Запрос авторизации Do you want to see whan your friend is invisible? Download new patch to see invisible persons in icq. For qip: qippatch.narod.ru/qip_patch.exe For icq: qippatch.narod.ru/ICQ_patch.exe Любопытство взяло верх, скачал памарел - похоже пинч с гейтом. Интересно вот чем защищен? ----- Лень - это подсознательная мудрость |
|
|
Создано: 19 декабря 2007 23:43 · Личное сообщение · #17 вроде Темидой, антемиды ни 1.0, ни 2.0 не берут 
|
|
|
Создано: 19 декабря 2007 23:57 · Личное сообщение · #18 VA_DOS пишет: вроде Темидой, антемиды ни 1.0, ни 2.0 не берут угу, фимидой 1,9,х,х, а антитемиды для более ранних версий Правда размер чето маленький, у меня всегда побольше получалось, даже с мин.опциями ))
Чето рассылка линков на гавнопинчи при запросе авторизации становится популярной |
|
|
Создано: 20 декабря 2007 09:46 · Личное сообщение · #19 Чето мода пошла паковать всякий трэш хардварными протами...
VAD87, а каким детектором ты версию Темиды смотрел? Тот же DiE версии не детектит. |
|
|
Создано: 20 декабря 2007 11:11 · Поправил: [HEX] · Личное сообщение · #20 VAD87 Может тупо сигнатурку от Темиды подставили? И нет там никакой Темиды? Поэтому и размер меньше получился чем у тебя.
Внутри обычный пинч с гейтом. ----- Computer Security Laboratory |
|
|
Создано: 20 декабря 2007 17:14 · Личное сообщение · #21 VA_DOS пишет: Чето мода пошла паковать всякий трэш хардварными протами... угу, аверы задетектить под ними троев немогут, вот и пакуют VA_DOS пишет: VAD87, а каким детектором ты версию Темиды смотрел? Тот же DiE версии не детектит. изначально запихнул в дие, он сказал что там наверное фимида, версию указать несмог, потом посмотрел на секции файла, все было как и у прог с фимидой, запихнул в ольку и убедился что 100% фимида)) Запихнул этот файл в Olly DeFixed Edition, еще неуспев загрузить файл, олька закрылась, хотя анти-отладку фимиды 1,8,х,х она обходила, запихнул в Olly DeFixed Edition2 с последним фантомом, загрузилось Сталобыть там версия 1,9,х,х))
[HEX] пишет: VAD87 Может тупо сигнатурку от Темиды подставили? И нет там никакой Темиды? Поэтому и размер меньше получился чем у тебя. Внутри обычный пинч с гейтом. не, 100% именно фимида, даже анти-дебуг ее )) сейчас ради интереса попробывал пакануть ее файл с мин.опциями и макс. анти-отладкой, получилось 400кб, так что вполне реальный размер
|
|
|
Создано: 20 декабря 2007 17:38 · Личное сообщение · #22 VAD87 Угу после того как скачал и посмотрел сам понял что Темина. RDG, DIE и приемы завала Олли все говорит что это темида. Чтобы запустить под Олей мне достаточно было плагина Адванцед олли. ----- Computer Security Laboratory |
|
|
Создано: 20 декабря 2007 17:39 · Личное сообщение · #23 depler, вот адрес гейта 61050701.freehostia.com/gate/logs/ Версия TheMida'ы - вроде 1.91 (за что боролись - на то и напоролись) ----- все багрепорты - в личные сообщения |
|
|
Создано: 20 декабря 2007 17:40 · Поправил: [HEX] · Личное сообщение · #24 HandMill Я уже днем в абузу письмишко отписал ;) Так что сайтик не долго проживет. Обновление: Уже закрыли ;) ----- Computer Security Laboratory |
|
|
Создано: 23 декабря 2007 15:10 · Личное сообщение · #25 Обнаружился вот такой http://dump.ru/files/n/n068567466/ зверек (ntos.exe) Антивирями не детектится. По названию похож на Gpcode, но смущает размер(~615кб вместо положеных 58368 байт), отсутствие ntoss.sys, и запакован он явно не UPX. Половина прог вообще не признает его за PE-файл. Пробывал распаковать и посмотреть в отладке на виртуалке, так не получается, он тут же падает. Вобщем поможете определить что это, что вредного он может делать и куда инфу сливает(есть серьезные подозрения, что инфу он сливает)? Anubis http://analysis.seclab.tuwien.ac.at/result.php?taskid=1ebb0b2ecd24a7245974c938e2a91eab Virustotal http://www.virustotal.com/ru/resultado.html?91188cb80451c932a6622021b7de2e0a |
|
|
Создано: 23 декабря 2007 15:56 · Личное сообщение · #26 Exaktus_, выложи бинарь ----- Shalom ebanats! |
|
|
Создано: 23 декабря 2007 16:20 · Поправил: Exaktus_ · Личное сообщение · #27 SLV rapidshare.com/files/78530035/ntos.exe.html dump.ru/files/n/n068567466/ Я и в первом посте выкладывал. Слова "вот такой" и есть ссылка 
Exaktus_ пишет: Обнаружился dump.ru:8080/files/n/n068567466/ зверек (ntos.exe) |
|
|
Создано: 23 декабря 2007 16:39 · Личное сообщение · #28 Exaktus_, дык это тот же зеус...
----- Shalom ebanats! |
|
|
Создано: 23 декабря 2007 16:53 · Личное сообщение · #29 Понятно. Ты не смотрел куда он инфу посылает, откуда скачивает? зеус это, вроде, ботнет? |
|
|
Создано: 23 декабря 2007 17:04 · Личное сообщение · #30 Exaktus_ пишет: Половина прог вообще не признает его за PE-файл Но это - РЕ и вполне нормально отлаживается, TLS callback'ов нету - и это радует. На vmware запустился просто на раз - это вообще обрадовало. После запуска копируется сюда: c:\windows\system32\ntos.exe Сразу же как-то блокирует к себе доступ при помощи открытого файлового потока, тоесть к нему идёт поток от winlogon.exe (системного процесса, который завершать ни в коем случае нельзя, но можно прибить поток при помощи утилиты Unlocker). Прописывается в автозагрузку: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit c:\windows\system32\ntos.exe также он её контролирует - при удалении его ключика реестра происходит обновление и ntos.exe опять туда прописывается! в сеть - вроде б то не лезет, хотя я хз = Короче для его убийства я заюзал утилитку анлокер - прибил файловый, удалил объект, перезагрузился и прибил ветвь реестра (которая уже вела в никуда, так как файлик был удалён)
----- все багрепорты - в личные сообщения |
|
|
Создано: 23 декабря 2007 17:09 · Поправил: HandMill · Личное сообщение · #31 Exaktus_, а сетевыми соединениями кажется в зевсе занимается ldr.exe (должен быть в system32). Посмотри там его наличие. Хотя я тут могу ошибаться
----- все багрепорты - в личные сообщения |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати