В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Запрос авторизации
Скоро новогодние и рождественские праздники, поставь красивую ёлочку себе на рабочий стол!
Скачать: ctree.1gb.in/soft/ChristmasTree.zip
там SFX архив с 2-мя ЕХЕ - инсталляром елочки и вот этим:
\192.168.0.2\c\Dumped.exe - инфицирован Trojan.PWS.LDPinch.1941
x4kep.1gb.in/gate/gate.php
[HEX], посмотри работает ли гейт, а то как то не очень хочется, что б в новый год кто-то лишился своего УИНа...

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill
гейт он снова перезалил. Та что пришлось снова все погрохать. успел ли он отчеты слить ХЗ.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

В общем кто в дровинах сильно рубит лучше гляньте вот это чудо юдо.
Чето не въеду в чем задача этой дровины =\

fdb6_31.12.2007_CRACKLAB.rU.tgz - 8df0613e45e87750489883cc42f38718.sys

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

люди, если есть *чистый* трой (ничем не запакованный) , то по средством какого софта можно посмотреть его исходник ?

| Сообщение посчитали полезным:

skate42
посредством взлома компа автора троя и вытаскиванием с его компа исходников.

из бинарника ты исходник не получишь!

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
из бинарника ты исходник не получишь!
Отчего же? Если трой написан на асме, то элементарно...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

хм..., а если трой не рукописный ?, а сделан с помощью pinch'a ?
и ты знаешь каким именно ( а то расплодилось их в последнее время... )

| Сообщение посчитали полезным:

Если на managed-коде, то можно декомпилировать (.NET Reflector, Java Decompiler). Для VB есть декомпилеры.

А если на обычных сях - Ida 5.2 + HexRays. Хотя мне лично без HexRays проще - порой такую фигню воротит. Им только функции расшифровки проходить удобно.

| Сообщение посчитали полезным:

Isaev
Декомпильни пинч и пришли мне исходник Этоже элементарно!

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Кстати хотел вот тут к тулзине одной привинтить распознование пинчей по сигнатурам или еще почем-небудь...
Есть у кого нить разные версии пинчеделок|версий пинча ?
Скиньте плз... (или наделайте пинчей с разными опциями или чего там у них есть?).
кстати можт боян...
www.viruslist.com/ru/weblog?weblogid=207758669

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
www.viruslist.com/ru/weblog?weblogid=207758669
баян, да причем и не правдо

ну так ктонить мне поможеть ?

| Сообщение посчитали полезным:

skate42
Если ты веришь в Новогоднее чудо, то можешь еще подождать может и правда чудо свершится.
А так я тебе уже ответил. Что нормального исходника (если это можно будет назвать исходником) ты не получишь в 95%

А так IDA в руки, мозг на полную катушку и сиди шевели серым веществом и возможно получишь что то приближенное к исходнику.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], спасибо за ответ

| Сообщение посчитали полезным:

Билять! гавнокедалы сцуко! Опять пенч попался. Оочень занимательный экспонат...Гляньте куда он логи отправляет, а то я никак не могу распаковать...


ca80_03.01.2008_CRACKLAB.rU.tgz - pinch3.zip

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

SecurAdmin, на мыле логов щопиздец)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

ASCII "MAIL FROM: 8guu7hfdqsc@rambler.ru"
ASCII "OGd1dTdoZmRxc2M="
ASCII "aEpsSTc1SEo="

з.ы. запаковано со стабом на дельфи, процесс перезапускает себя вообщем кака,
проактивкой каспера далжно палится это гомно...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

SecurAdmin, непохэкк то самому пенчей рассылать, плохой мальчик)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Поймал вот такую заразу (Rootkit.Win32.Agent.sx)

Чем она покриптована под UPX'ом и как этот криптор снять? Если отдельно снимать UPX, работоспособность утрачивается (вылетает с Memory Access Violation).

hxxp://rapidshare.com/files/81439627/Rootkit.Win32.Agent.sx.rar.html
пароль - infected

| Сообщение посчитали полезным:

Прислали 2х троянов, сунулся реверсить, а там дрова. Подскажите, че с ними делать? Вирусняк один такой:
BackDoor.Bulknet
Второй :
Trojan.NtRootKit.360
Охота распотрошить...

| Сообщение посчитали полезным:

Не аттачится...

8699_10.01.2008_CRACKLAB.rU.tgz - Virus.rar

| Сообщение посчитали полезным:

Gerpes, оба дрова предназначены для работы с сетью - по видемому для сокрытия сетевой активности приложений. Если ошибаюсь - просьба поправить

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Ходил я вчера на изгнание беса из кампега одного.
такого рассадника нечисти я невидел ещё!
Изначально жалоба была на то что очень стал тормозить...
Прихожу НОД, которого я ставил раньше удалён. Чел сказал что он вдруг перестал работать...
помимо всякой неинтересной нечисти типа джефо и червей был такой интересный экземпляр:
Win32Neshta.A так сказал мой нод. это сволочь сидела в папке винды под именем: svchost.com и перебила на себя ассоциации расширений *.EXE и *.SCR. типа все экзешники запускались через неё.
Убил. так потом не грузится ни один экзешник.
Хорошо был ссобой AVZ он то мне и подсказал что асоциации перебиты. и исправил мастером егошним.
вот эта зверюга: пасс: vir

2c86_11.01.2008_CRACKLAB.rU.tgz - Win32Neshta.A виpyc.rar

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
сорри, но это жесткий боян
если кто еще не знает - Белоруский вирус на делфи

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

HLLW-трой, таких ку4а...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ну я там выложил мож кому интересно будет)
а сам просто с ним ещё не сталкивался.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
ну я там выложил мож кому интересно будет)
а сам просто с ним ещё не сталкивался.

А че его смотреть-то? Вот он: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=105045 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=105045

Тем более Описание опубликовано: 10 апр 2006

| Сообщение посчитали полезным:

сори действительно древний боян

-----
AutoIt

| Сообщение посчитали полезным:

Выловил свежескаченного, вот. Чего делает ? Как вы его вообще ковыряли ?

faa6_11.01.2008_CRACKLAB.rU.tgz - win32.exe

| Сообщение посчитали полезным:

Klever
Помоему недавно было тут такое analysis.seclab.tuwien.ac.at/result.php?taskid=142d8d64d80e12245935d2e98752776e

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Я вот тоже что-то отловил. Касперский говорит Trojan-PSW.Win32.LdPinch.dhm


pass:vir

8e12_11.01.2008_CRACKLAB.rU.tgz - vir.rar

| Сообщение посчитали полезным: